S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 20 septembre 2005
N° CERTA-2005-AVI-356-001
Affaire suivie par: CERT-FR
le 20 septembre 2005

Avis du CERT-FR

Objet: Vulnérabilité de Webmin et Usermin

Gestion du document

Référence CERTA-2005-AVI-356-001
Titre Vulnérabilité de Webmin et Usermin
Date de la première version 20 septembre 2005
Date de la dernière version 26 septembre 2005
Source(s) Liste des changements dans Webmin/Usermin du 20 septembre 2005
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

  • Webmin versions 1.220 et antérieures ;
  • Usermin verions 1.150 et antérieures.

Résumé

Une vulnérabilité dans Webmin et Usermin permet à un utilisateur distant de contourner la politique de sécurité du système vulnérable.

Description

Webmin et Usermin permettent l'administration à distance de machine via une interface web. Une erreur dans la mise en œuvre de l'authentification des utilisateurs dans ces deux logiciels permet à un utilisateur distant mal intentionné d'accéder à Webmin ou Usermin sans s'authentifier préalablement.

Remarque : la vulnérabilité n'est exploitable que si l'option ``full PAM conversations'' a été activée dans l'inteface de configuration de l'authentification. Ce n'est pas le cas par défaut.

Solution

Mettre à jour :

Documentation

Gestion détaillée du document

    le 20 septembre 2005
    version initiale.
    le 26 septembre 2005
    ajout du lien vers les changements Usermin ainsi que des références aux bulletins de sécurité SNS No. 83, Gentoo GLSA 200509-17 et CVE CAN-2005-3042.