Рекомендация Debian по безопасности
DSA-1199-1 webmin -- многочисленные уязвимости
- Дата сообщения:
- 23.10.2006
- Затронутые пакеты:
- webmin
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 341394, Ошибка 381537, Ошибка 391284.
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 15629, Идентификатор BugTraq 18744, Идентификатор BugTraq 19820.
В каталоге Mitre CVE: CVE-2005-3912, CVE-2006-3392, CVE-2006-4542. - Более подробная информация:
-
В webmin, инструменте для администрирования через веб, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие уязвимости:
- CVE-2005-3912
Уязвимость форматной строки в miniserv.pl может позволить злоумышленнику вызвать отказ в обслуживании из-за аварийной остановки приложения или исчерпания системных ресурсов, а также может потенциально позволить выполнить произвольный код.
- CVE-2006-3392
Неправильная очистка входных данных в miniserv.pl может позволить злоумышленнику считать произвольные файлы на узле webmin путём передачи специально сформированного URL http-серверу miniserv.
- CVE-2006-4542
Неправильная обработка null-символов в URL в miniserv.pl может позволить злоумышленнику выполнить межсайтовый скриптинг, считывать исходный код CGI-программы, выводить список содержимого локальных каталогов, а также потенциально выполнять произвольный код.
Обновления для стабильного выпуска доступны для архитектур alpha, amd64, arm, hppa, i386, ia64, m68k, mips, mipsel, powerpc, s390 и sparc.
В стабильном выпуске (sarge) эти проблемы были исправлены в версии 1.180-3sarge1.
Webmin отсутствует в нестабильном (sid) и тестируемом (etch) выпусках, поэтому в них указанные проблемы отсутствуют.
Рекомендуется обновить пакет webmin (1.180-3sarge1).
- CVE-2005-3912
- Исправлено в:
-
Debian GNU/Linux 3.1 (stable)
- Исходный код:
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1.dsc
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1.diff.gz
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180.orig.tar.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/w/webmin/webmin-core_1.180-3sarge1_all.deb
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1_all.deb
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.