Risques
- Atteinte à l'intégrité des données
- Exécution de code arbitraire
Systèmes affectés
Toutes les versions de Usermin antérieures à la version 1.090.
Résumé
Deux vulnérabilités dans Usermin permettent à un utilisateur mal intentionné de porter atteinte à l'intégrité du système ou d'exécuter du code arbitraire sur la plate-forme vulnérable.
Description
Usermin est un outil d'administration pour les plates-formes Unix basé
sur une interface web.
Une première vulnérabilité concerne le script de création temporaire de
répertoire maketemp.pl qui permet à un utilisateur mal intentionné de
porter atteinte à l'intégrité du système (CAN-2004-0559).
Une seconde vulnérabilité concerne une mauvaise gestion des messages
électroniques au format HTML permettant à un utilisateur mal intentionné
d'exécuter de code malicieux, via un message électronique habilement
constitué.
Solution
Mettre à jour Usermin en version 1.090.
Usermin est téléchargeable à l'adresse suivante :
http://www.webmin.com/udownload.html
Documentation
- Bulletin de sécurité SNS No.77 du 07 septembre 2004 http://www.lac.co.jp/security/csl/intelligence/SNSadvisory_e/77_e.html
- Bulletin de sécurité Debian DSA-544 du 14 septembre 2004 : http://www.debian.org/security/2004/dsa-544
- Bulletin de sécurité FreeBSD pour webmin du 14 septembre 2004 : http://www.vuxml.org/freebsd/
- Bulletin de sécurité Gentoo GLSA 200409-15 du 12 septembre 2004 : http://www.gentoo.org/security/en/glsa/glsa-200409-15.xml
- Bulletin de sécurité Mandrake MDKSA-2004:101 du 22 septembre 2004 : http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:101
- Liste des changements dans Usermin : http://www.webmin.com/uchanges.html
- Liste des changements dans Usermin version 1.090 : http://www.webmin.com/uchanges-1.090.html
- Site Internet de Usermin : http://www.webmin.com/index6.html
