Thema: Root-Zugriff durch Lücke in Konfigurationstool Webmin

Forum: Boardnews und Infos

Autor: IhmSelbst


IhmSelbst - 26/9/2005 um 18:02


Zitat:
Root-Zugriff durch Lücke in Konfigurationstool Webmin

Durch eine Schwachstelle in den Unix-Konfigurations-Frontends Webmin und Usermin können sich Angreifer an der Authentifizierung vorbeimogeln. In der Folge lassen sich beliebige Befehle als Root ausführen. Ursache des Problems ist der zentrale miniserv.pl-Server, der bestimmte Zeichen bei der Anmeldung nicht korrekt überprüft, bevor er sie an das Pluggable Authentication Module (PAM) zur Authentifizierung und Überprüfung von Session-IDs weiterleitet.

Mit den Versionen 1.230 von Webmin sowie 1.160 von Usermin merzen die Entwickler den Fehler aus. Die Linux-Distributoren liefern aktualisierte Pakete aus. Gentoo weist in einem Advisory darauf hin, dass in seiner Dsitribution standardmäßig "full PAM conversation" ausgeschaltet ist und der Fehler damit nicht zum Tragen kommt.

Siehe dazu auch:

* Security Advisory[1] von SNS
* Webmin-Homepage[2] mit Downloads der gefixten Versionen
* Webmin, Usermin: Remote code execution through PAM authentication[3] Fehlerreport von Gentoo

(dmk[4]/c't) (dmk/c't)

URL dieses Artikels:
http://www.heise.de/newsticker/meldung/64298

Links in diesem Artikel:
[1] http://www.lac.co.jp/business/sns/intelligence/SNSadvisory_ e/83_e.html
[2] http://www.webmin.com/
[3] http://www.gentoo.org/security/en/glsa/glsa-200509-17.xml
[4] mailto:dmk@ct.heise.de


quelle:
http://www.heise.de/newsticker/meldung/print/64298


cu

Dieses Thema kommt von : eD2K-Serverboard
http://ed2k-serverboard.de

URL dieser Webseite:
http://ed2k-serverboard.de/modules.php?name=eBoard&file=viewthread&fid=31&tid=431