Debians sikkerhedsbulletin

DSA-1199-1 webmin -- flere sårbarheder

Rapporteret den:
23. okt 2006
Berørte pakker:
webmin
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 341394, Fejl 381537, Fejl 391284.
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 15629, BugTraq-id 18744, BugTraq-id 19820.
I Mitres CVE-ordbog: CVE-2005-3912, CVE-2006-3392, CVE-2006-4542.
Yderligere oplysninger:

Flere sårbarheder er opdaget i webmin, et webbaseret administreringsværktøj. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende sårbarheder:

  • CVE-2005-3912

    En formatstrengssårbarhed i miniserv.pl kunne gøre det muligt for en angriber at forårsage et lammelsesangreb (denial of service) ved at få programmet til at gå ned eller udmatte systemressourcer, og kunne potentielt gøre det muligt at udføre vilkårlig kode.

  • CVE-2006-3392

    Ukorrekt kontrol af inddata i miniserv.pl kunne gøre det muligt for en angriber at læse vilkårlige filer på webmin-værten ved at levere en særligt fremstillet URL-sti til http-serveren miniserv.

  • CVE-2006-4542

    Ukorrekt håndtering af null-tegn i URL'er i miniserv.pl kunne gøre det muligt for en angriber at iværksætte angreb i forbindelse med udførelse af skripter på tværs af websteder (cross-site scripting), læse CGI-programmers kildekode, vise indholdet af lokale mapper og potentielt udføre vilkårlig kode.

Stabile opdateringer er tilgængelige til alpha, amd64, arm, hppa, i386, ia64, m68k, mips, mipsel, powerpc, s390 og sparc.

I den stabile distribution (sarge), er disse problemer rettet i version 1.180-3sarge1.

Webmin findes ikke i distributionerne unstable (sid) eller testing (etch), hvorved problemerne ikke er til stede dér.

Vi anbefaler at du opgraderer din webmin (1.180-3sarge1)-pakke.

Rettet i:

Debian GNU/Linux 3.1 (stable)

Kildekode:
http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1.dsc
http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180.orig.tar.gz
http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1.diff.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/w/webmin/webmin-core_1.180-3sarge1_all.deb
http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.