S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 20 septembre 2005
N° CERTA-2005-AVI-356
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de Webmin et Usermin

Gestion du document

Référence CERTA-2005-AVI-356
Titre Vulnérabilité de Webmin et Usermin
Date de la première version20 septembre 2005
Date de la dernière version26 septembre 2005
Source(s) Liste des changements dans Webmin/Usermin du 20 septembre 2005
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • Usermin verions 1.150 et antérieures.
  • Webmin versions 1.220 et antérieures ;

Résumé

Une vulnérabilité dans Webmin et Usermin permet à un utilisateur distant de contourner la politique de sécurité du système vulnérable.

Description

Webmin et Usermin permettent l'administration à distance de machine via une interface web. Une erreur dans la mise en œuvre de l'authentification des utilisateurs dans ces deux logiciels permet à un utilisateur distant mal intentionné d'accéder à Webmin ou Usermin sans s'authentifier préalablement.

Remarque : la vulnérabilité n'est exploitable que si l'option ``full PAM conversations'' a été activée dans l'inteface de configuration de l'authentification. Ce n'est pas le cas par défaut.

Solution

Mettre à jour :

  • Webmin en version 1.230 disponible à l'adresse :

    http://www.webmin.com/download.html

  • Usermin en version 1.160 disponible à l'adresse :

    http://www.webmin.com/udownload.html

Documentation

Gestion détaillée du document

    le 20 septembre 2005
    version initiale.
    le 26 septembre 2005
    ajout du lien vers les changements Usermin ainsi que des références aux bulletins de sécurité SNS No. 83, Gentoo GLSA 200509-17 et CVE CAN-2005-3042.