Debian-Sicherheitsankündigung
DSA-1199-1 webmin -- Mehrere Verwundbarkeiten
- Datum des Berichts:
- 23. Okt 2006
- Betroffene Pakete:
- webmin
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 341394, Fehler 381537, Fehler 391284.
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 15629, BugTraq ID 18744, BugTraq ID 19820.
In Mitres CVE-Verzeichnis: CVE-2005-3912, CVE-2006-3392, CVE-2006-4542. - Weitere Informationen:
-
Mehrere Verwundbarkeiten wurden in webmin entdeckt, einem Web-basierten Administrations-Toolkit. Das
Common Vulnerabilities and Exposures
-Projekt identifiziert die folgenden Verwundbarkeiten:- CVE-2005-3912
Eine Formatierungszeichenkettenverwundbarkeit in miniserv.pl kann es einem Angreifer ermöglichen, eine Diensteverweigerung
denial of service
auszulösen, indem die Anwendung zum Absturz gebracht wird oder Systemressourcen ausgeschöpft werden. Möglicherweise könnte beliebiger Code ausgeführt werden. - CVE-2006-3392
Eine nicht korrekte Eingabebereinigung in miniserv.pl kann es einem Angreifer erlauben, beliebige Dateien auf dem Webmin-Host zu lesen, indem ein speziell erzeugter URL-Pfad an den miniserv-HTTP-Server übergeben wird.
- CVE-2006-4542
Ein nicht korrekter Umgang mit Nullzeichen in URLs in miniserv.pl kann es einem Angreifer erlauben, Site-übergreifende Skripting-Angriffe durchzuführen, CGI-Programmquellcode zu lesen, lokale Verzeichnisse anzuzeigen und möglicherweise beliebigen Code auszuführen.
Aktualisierungen für Stable sind verfügbar für alpha, amd64, arm, hppa, i386, ia64, m68k, mips, mipsel, powerpc, s390 und sparc.
Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 1.180-3sarge1 behoben.
Webmin ist nicht in Unstable (Sid) oder Testing (Etch) vorhanden, diese Probleme treten deshalb dort nicht auf.
Wir empfehlen Ihnen, Ihr webmin-Paket (1.180-3sarge1) zu aktualisieren.
- CVE-2005-3912
- Behoben in:
-
Debian GNU/Linux 3.1 (stable)
- Quellcode:
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1.dsc
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1.diff.gz
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180.orig.tar.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/w/webmin/webmin-core_1.180-3sarge1_all.deb
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1_all.deb
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.