Risque
- Atteinte à la confidentialité des données
Systèmes affectés
- Usermin 1.210 et versions antérieures.
- Webmin 1.280 et versions antérieures ;
Résumé
Une vulnérabilité découverte dans les applications Webmin et Usermin permet à un utilisateur mal intentionné de porter atteinte à la confidentialité des données présentes sur le système.
Description
Cette vulnérabilité est causée par une erreur dans le traitement des adresses réticulaires (URL). Un individu malveillant peut exploiter cette vulnérabilité au moyen d'une adresse réticulaire spécialement conçue pour ensuite accéder en lecture aux fichiers présents sur le système.
Solution
Appliquer la mise à jour de sécurité Webmin en passant à la version 1.290 disponible à l'adresse :
http://www.webmin.com
Appliquer la mise à jour de sécurité Usermin en passant à la version 1.220 disponible à l'adresse :
http://www.webmin.com/index6.html
Documentation
- Bulletin de sécurité Gentoo GLSA-200608-11 du 06 août 2006 : http://www.gentoo.org/security/en/glsa/glsa-200608-11.xml
- Bulletin de sécurité Mandriva MDKSA-2006:125 du 18 juillet 2006 : http://www.mandriva.com/security/advisories?name=MDKSA-2006:125
- Bulletin de sécurité Webmin et Usermin du 29 juin 2006 : http://www.webmin.com/securty.html
- Référence CVE CVE-2006-3392 https://www.cve.org/CVERecord?id=CVE-2006-3392