statistic

Schwerwiegende Sicherheitslücke in webmin

  • Veröffentlicht am 30.11.2005
  • Redaktion Webhostlist

Die Angabe eines präparierten Benutzernamens soll ausreichen um in der Verwaltungssoftware webmin einen unbeschränkten Root-Zugriff zu erhalten. Der Angreifer b ... Die Angabe eines präparierten Benutzernamens soll ausreichen um in der Verwaltungssoftware webmin einen unbeschränkten Root-Zugriff zu erhalten. Der Angreifer benötigt hierzu keinen Account auf dem Server, lediglich Zugriff auf miniserv.pl, der standardweise auf Port 10000 lauscht. Die Sicherheitslücke wurde von Dyad Security entdeckt und veröffentlicht. (). Der schadhafte Code in miniserv.pl betrifft das Logging via Syslog und überprüft und bereinigt die übergebenen Zeichensätze nicht ausreichend. Auf den Seiten von webmin liegt ein Patch bereit, den Systemadministratoren unbedingt einspielen sollten. Laut einem Bereiche von Heise Online soll bereits ein funktionierender Exploit für das Problem bestehen, so daß in Kürze mit einer reihenweisen Kompromittierung von ungepatchten Systemen gerechnet werden muß.