Bulletin d'alerte Debian
DSA-1199-1 webmin -- Plusieurs vulnérabilités
- Date du rapport :
- 23 octobre 2006
- Paquets concernés :
- webmin
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 341394, Bogue 381537, Bogue 391284.
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 15629, Identifiant BugTraq 18744, Identifiant BugTraq 19820.
Dans le dictionnaire CVE du Mitre : CVE-2005-3912, CVE-2006-3392, CVE-2006-4542. - Plus de précisions :
-
Plusieurs vulnérabilités à distance ont été découvertes dans webmin, une boîte à outils d'administration basée sur une interface web. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
- CVE-2005-3912
Une vulnérabilité de chaîne de formatage dans miniserv.pl pourrait permettre à un attaquant de causer un déni de service en faisant planter l'application ou en épuisant les ressources du système, et pourrait peut-être permettre l'exécution de code arbitraire.
- CVE-2006-3392
Une mauvaise vérification de l'entrée dans miniserv.pl pourrait permettre à un attaquant de lire des fichiers arbitraires sur l'hôte webmin en fournissant une URL conçue spécialement au serveur HTTP miniserv.
- CVE-2006-4542
Une mauvaise gestion des caractères nuls dans les URL dans miniserv.pl pourrait permettre à un attaquant de conduire des attaques de scripts intersites, de lire le code source du programme CGI, de lister le contenu des répertoires locaux, et peut-être d'exécuter un code arbitraire.
Les mises à jour pour la distribution stable sont disponibles pour les architectures alpha, amd64, arm, hppa, i386, ia64, m68k, mips, mipsel, powerpc, s390 et sparc.
Pour la distribution stable (Sarge), ces problèmes ont été corrigés dans la version 1.180-3sarge1.
Webmin n'est pas inclus dans les distributions instable (Sid) et de test (Etch) de Debian, ces problèmes n'y sont donc pas.
Nous vous recommandons de mettre à jour votre paquet webmin (1.180-3sarge1).
- CVE-2005-3912
- Corrigé dans :
-
Debian GNU/Linux 3.1 (stable)
- Source :
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1.dsc
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1.diff.gz
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/w/webmin/webmin-core_1.180-3sarge1_all.deb
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1_all.deb
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.