Risque
- Déni de service
Systèmes affectés
- Usermin versions antérieures à 1.180.
- Webmin versions antérieures à 1.250 ;
Description
Webmin est une interface d'administration Unix basée sur le web. Usermin est un dérivé de Webmin destiné aux utilisateurs, leur permettant notamment de consulter leur messagerie.
Une vulnérabilité a été découverte dans Webmin/Usermin lors de la journalisation avec syslog. Un utilisateur mal intentionné peut, lors de la phase d'authentification, en fournissant un nom d'utilisateur habilement constitué, réaliser un déni de service sur le serveur.
Solution
Mettre à jour Webmin/Usermin (voir section Documentation).
Documentation
- Site de Webmin http://www.webmin.com
- Bulletin de sécurité DYAD Security du 29 novembre 2005 : http://www.dyadsecurity.com/webmin-0001.html
- Bulletin de sécurité FreeBSD du 15 février 2006 : http://www.vuxml.org/freebsd/pkg-webmin.html
- Bulletin de sécurité Gentoo GLSA 200512-02 du 07 décembre 2005 : http://www.gentoo.org/security/en/glsa/glsa-200512-02.xml
- Bulletin de sécurité Mandriva MDKSA-2005:223 du 02 décembre 2005 : http://frontal2.mandriva.com/security/advisories?name=MDKSA-2005:223
- Bulletin de sécurité SUSE SUSE-SR:2005:030 du 16 décembre 2005 : http://www.novell.com/linux/security/advisories/2005_30_sr.html
- Page recensant les problèmes de sécurité sur le site de Webmin : http://www.webmin.com/security.html