Risques

  • Atteinte à l'intégrité des données
  • Exécution de code arbitraire

Systèmes affectés

Toutes les versions de Usermin antérieures à la version 1.090.

Résumé

Deux vulnérabilités dans Usermin permettent à un utilisateur mal intentionné de porter atteinte à l'intégrité du système ou d'exécuter du code arbitraire sur la plate-forme vulnérable.

Description

Usermin est un outil d'administration pour les plates-formes Unix basé sur une interface web.
Une première vulnérabilité concerne le script de création temporaire de répertoire maketemp.pl qui permet à un utilisateur mal intentionné de porter atteinte à l'intégrité du système (CAN-2004-0559).
Une seconde vulnérabilité concerne une mauvaise gestion des messages électroniques au format HTML permettant à un utilisateur mal intentionné d'exécuter de code malicieux, via un message électronique habilement constitué.

Solution

Mettre à jour Usermin en version 1.090.
Usermin est téléchargeable à l'adresse suivante :

http://www.webmin.com/udownload.html

Documentation