Debians sikkerhedsbulletin
DSA-1199-1 webmin -- flere sårbarheder
- Rapporteret den:
- 23. okt 2006
- Berørte pakker:
- webmin
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 341394, Fejl 381537, Fejl 391284.
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 15629, BugTraq-id 18744, BugTraq-id 19820.
I Mitres CVE-ordbog: CVE-2005-3912, CVE-2006-3392, CVE-2006-4542. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i webmin, et webbaseret administreringsværktøj. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende sårbarheder:
- CVE-2005-3912
En formatstrengssårbarhed i miniserv.pl kunne gøre det muligt for en angriber at forårsage et lammelsesangreb (denial of service) ved at få programmet til at gå ned eller udmatte systemressourcer, og kunne potentielt gøre det muligt at udføre vilkårlig kode.
- CVE-2006-3392
Ukorrekt kontrol af inddata i miniserv.pl kunne gøre det muligt for en angriber at læse vilkårlige filer på webmin-værten ved at levere en særligt fremstillet URL-sti til http-serveren miniserv.
- CVE-2006-4542
Ukorrekt håndtering af null-tegn i URL'er i miniserv.pl kunne gøre det muligt for en angriber at iværksætte angreb i forbindelse med udførelse af skripter på tværs af websteder (cross-site scripting), læse CGI-programmers kildekode, vise indholdet af lokale mapper og potentielt udføre vilkårlig kode.
Stabile opdateringer er tilgængelige til alpha, amd64, arm, hppa, i386, ia64, m68k, mips, mipsel, powerpc, s390 og sparc.
I den stabile distribution (sarge), er disse problemer rettet i version 1.180-3sarge1.
Webmin findes ikke i distributionerne unstable (sid) eller testing (etch), hvorved problemerne ikke er til stede dér.
Vi anbefaler at du opgraderer din webmin (1.180-3sarge1)-pakke.
- CVE-2005-3912
- Rettet i:
-
Debian GNU/Linux 3.1 (stable)
- Kildekode:
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1.dsc
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1.diff.gz
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180.orig.tar.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/w/webmin/webmin-core_1.180-3sarge1_all.deb
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1_all.deb
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.