Risques
- Exécution de code arbitraire
- Injection de code indirecte à distance (XSS)
- Usurpation d'identité
Systèmes affectés
versions de webmin antérieures à la version 0.97.
Résumé
Plusieurs vulnérabilités présentes dans webmin permettent à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Description
webmin est un outil qui permet l'administration de machines à distance via un navigateur Web. webmin est installé par défaut sur certaines distributions.
La première vulnérabilité de type « cross site scripting » présente dans la gestion des messages d'erreurs permet à un utilisateur mal intentionné de faire exécuter du code sur la machine de l'utilisateur visualisant ces messages d'erreurs.
Une seconde vulnérabilité présente dans la gestion de l'authentification permet à un utilisateur mal intentionné de contourner l'authentification par mot de passe.
Contournement provisoire
Filter le port 10000/tcp au niveau du garde-barrière.
Solution
Mettre à jour webmin avec la version 0.97 (se référer à la section documentation).
Documentation
- Avis de sécurité 4694 de SecurityFocus : http://online.securityfocus.com/bid/4694
- Avis de sécurité 4700 de SecurityFocus : http://online.securityfocus.com/bid/4700
- Site de webmin : http://www.webmin.com