Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • Usermin verions 1.150 et antérieures.
  • Webmin versions 1.220 et antérieures ;

Résumé

Une vulnérabilité dans Webmin et Usermin permet à un utilisateur distant de contourner la politique de sécurité du système vulnérable.

Description

Webmin et Usermin permettent l'administration à distance de machine via une interface web. Une erreur dans la mise en œuvre de l'authentification des utilisateurs dans ces deux logiciels permet à un utilisateur distant mal intentionné d'accéder à Webmin ou Usermin sans s'authentifier préalablement.

Remarque : la vulnérabilité n'est exploitable que si l'option ``full PAM conversations'' a été activée dans l'inteface de configuration de l'authentification. Ce n'est pas le cas par défaut.

Solution

Mettre à jour :

  • Webmin en version 1.230 disponible à l'adresse :

    http://www.webmin.com/download.html
    
  • Usermin en version 1.160 disponible à l'adresse :

    http://www.webmin.com/udownload.html
    

Documentation