S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 02 décembre 2005
N° CERTA-2005-AVI-478-004
Affaire suivie par: CERT-FR
le 02 décembre 2005

Avis du CERT-FR

Objet: Vulnérabilité dans Webmin/Usermin

Gestion du document

Référence CERTA-2005-AVI-478-004
Titre Vulnérabilité dans Webmin/Usermin
Date de la première version 02 décembre 2005
Date de la dernière version 20 février 2006
Source(s) Site de Webmin
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Déni de service.

Systèmes affectés

  • Webmin versions antérieures à 1.250 ;
  • Usermin versions antérieures à 1.180.

Description

Webmin est une interface d'administration Unix basée sur le web. Usermin est un dérivé de Webmin destiné aux utilisateurs, leur permettant notamment de consulter leur messagerie.

Une vulnérabilité a été découverte dans Webmin/Usermin lors de la journalisation avec syslog. Un utilisateur mal intentionné peut, lors de la phase d'authentification, en fournissant un nom d'utilisateur habilement constitué, réaliser un déni de service sur le serveur.

Solution

Mettre à jour Webmin/Usermin (voir section Documentation).

Documentation

Gestion détaillée du document

    le 02 décembre 2005
    version initiale.
    le 05 décembre 2005
    ajout de la référence au bulletin de sécurité Mandriva.
    le 08 décembre 2005
    ajout des références aux bulletins de sécurité Gentoo et DYAD Security.
    le 21 décembre 2005
    ajout de la référence au bulletin de sécurité SUSE.
    le 20 février 2006
    ajout de la référence au bulletin de sécurité FreeBSD.