Avis du CERT-FR

Objet: Vulnérabilité dans Webmin et Usermin

Gestion du document

Référence	CERTA-2006-AVI-382
Titre	Vulnérabilité dans Webmin et Usermin
Date de la première version	05 septembre 2006
Date de la dernière version	25 octobre 2006
Source(s)	Bulletin de sécurité Webmin
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Atteinte à la confidentialité des données
Cross-site scripting

Systèmes affectés

Usermin versions antérieures à 1.226.
Webmin versions antérieures à 1.296 ;

Description

Une vulnérabilité dans le traitement des adresses réticulaires (URL) permet de réaliser des attaques de type cross-site scripting ou d'afficher le code source de certains scripts perl ou CGI.

Solution

Mettre à jour en version 1.296 (Webmin) et 1.226 (Usermin). Il s'agit pour le moment de versions de développement (voir Documentation).

Documentation

Bulletin de sécurité Webmin

http://www.webmin.com/security.html

Bulletin de sécurité Debian DSA-1199 du 23 octobre 2006 :

http://www.debian.org/security/2006/dsa-1199

Versions de développement 1.296 de Webmin et 1.226 de Usermin :

http://download.webmin.com/devel/tarballs/

Référence CVE CVE-2006-4542

https://www.cve.org/CVERecord?id=CVE-2006-4542

Gestion détaillée du document

le 05 septembre 2006: version initiale ;
le 25 octobre 2006: ajout du bulletin Debian et de la référence CVE.