Risque
Contournement de la politique de sécurité.
Systèmes affectés
- Webmin versions 1.220 et antérieures ;
- Usermin verions 1.150 et antérieures.
Résumé
Une vulnérabilité dans Webmin et Usermin permet à un utilisateur distant de contourner la politique de sécurité du système vulnérable.
Description
Webmin et Usermin permettent l'administration à distance de machine via une interface web. Une erreur dans la mise en œuvre de l'authentification des utilisateurs dans ces deux logiciels permet à un utilisateur distant mal intentionné d'accéder à Webmin ou Usermin sans s'authentifier préalablement.Remarque : la vulnérabilité n'est exploitable que si l'option ``full PAM conversations'' a été activée dans l'inteface de configuration de l'authentification. Ce n'est pas le cas par défaut.
Solution
Mettre à jour :
- Webmin en version 1.230 disponible à l'adresse :
http://www.webmin.com/download.html
- Usermin en version 1.160 disponible à l'adresse :
http://www.webmin.com/udownload.html
Documentation
- Site Internet de Webmin et Usermin :
http://www.webmin.com
- Liste des changements dans Webmin :
http://www.webmin.com/changes-1.230.html
- Liste des changements dans Usermin :
http://www.webmin.com/uchanges-1.160.html
- Bulletin de sécurité SNS No. 83 du 20 septembre 2005 :
http://www.lac.co.jp/business/sns/intelligence/SNSadvisory_e/83_e.html
- Bulletin de sécurité Gentoo GLSA 200509-17 du 24 septembre 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200509-17.xml
- Référence CVE CAN-2005-3042 :
https://www.cve.org/CVERecord?id=CAN-2005-3042