Risques

  • Exécution de code arbitraire
  • Injection de code indirecte à distance (XSS)
  • Usurpation d'identité

Systèmes affectés

versions de webmin antérieures à la version 0.97.

Résumé

Plusieurs vulnérabilités présentes dans webmin permettent à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

webmin est un outil qui permet l'administration de machines à distance via un navigateur Web. webmin est installé par défaut sur certaines distributions.

La première vulnérabilité de type « cross site scripting » présente dans la gestion des messages d'erreurs permet à un utilisateur mal intentionné de faire exécuter du code sur la machine de l'utilisateur visualisant ces messages d'erreurs.

Une seconde vulnérabilité présente dans la gestion de l'authentification permet à un utilisateur mal intentionné de contourner l'authentification par mot de passe.

Contournement provisoire

Filter le port 10000/tcp au niveau du garde-barrière.

Solution

Mettre à jour webmin avec la version 0.97 (se référer à la section documentation).

Documentation