xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

Webmin不安全目录权限漏洞


发布时间:2002-03-23
更新时间:2002-03-23
严重程度:
威胁程度:服务器信息泄露
错误类型:设计错误
利用方式:客户机模式

BUGTRAQ ID:4328

受影响系统
Webmin Webmin 0.92-1
Webmin Webmin 0.92
详细描述
Webmin是基于WEB接口的系统管理程序,使用在UNIX和Linux操作系统下。

Webmin当从RPM形式安装的时候,会以全局可读的方式建立/var/webmin目录,如果命令日志被使用,就可能造成本地攻击者读取ROOT用户基于COOKIE人证的信息。

/etc/webmin/servers/也以不安全的权限建立,认证信息以明文方式存储。

测试代码
见描述

解决方案
下载补丁:

Webmin Webmin 0.92-1:

Webmin Upgrade webmin-0.93.tar.gz
http://www.webmin.com/download/webmin-0.93.tar.gz

Webmin Webmin 0.92:

Webmin Upgrade webmin-0.93.tar.gz
http://www.webmin.com/download/webmin-0.93.tar.gz

相关信息
<advisory@prophecy.net.nz>.
参考:http://online.securityfocus.com/archive/1/263181
相关主页:http://www.webmin.com/webmin/
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved