S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 17 juin 2004
N° CERTA-2004-AVI-202
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de Webmin et Usermin

Gestion du document

Référence CERTA-2004-AVI-202
Titre Vulnérabilité de Webmin et Usermin
Date de la première version 17 juin 2004
Date de la dernière version 28 juillet 2004
Source(s) Bulletin de sécurité Gentoo GLSA 200406-12
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Divulgation d'informations confidentielles
  • Déni de service

Systèmes affectés

  • Usermin version 1.070 et versions antérieures ;
  • Webmin version 1.140-r1 et versions antérieures ;

Résumé

Plusieurs vulnérabilités ont été découvertes dans les outils Webmin et Usermin.

Description

Webmin et Usermin sont des outils d'administration pour les plates-formes Unix basé sur une interface web. Plusieurs vulnérabilités de Webmin et Usermin peuvent être exploitées par un utilisateur mal intentionné.
La première vulnérabilité de Webmin permet à tous les utilisateurs d'avoir accès à la configuration des différents modules, et d'obtenir ainsi des informations importantes sur le système.
La deuxième vulnérabilité concerne une mauvaise gestion par Usermin des messages électroniques au format HTML permettant l'exécution de code malicieux.
La troisième vulnérabilité concerne Webmin et Usermin. Un utilisateur mal intentionné peut, par le biais d'informations d'authentification erronées, bloquer l'accès du service aux utilisateurs légitimes.

Solution

  • Mettre à jour l'outil Webmin. La version 1.150 corrige ces vulnérabiltiés.
  • Mettre à jour l'outil Usermin. La version 1.080 corrige ces vulnérabiltiés.

Documentation

Gestion détaillée du document

    le 17 juin 2004
    version initiale.
    le 05 juillet 2004
    ajout des références à Usermin. Ajout des bulletins de sécurité SNS, Debian et des références CVE.
    le 28 juillet 2004
    ajout de la référence au bulletin de sécurité de Mandrake.