Säkerhetsbulletin från Debian
DSA-1199-1 webmin -- flera sårbarheter
- Rapporterat den:
- 2006-10-23
- Berörda paket:
- webmin
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 341394, Fel 381537, Fel 391284.
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 15629, BugTraq-id 18744, BugTraq-id 19820.
I Mitres CVE-förteckning: CVE-2005-3912, CVE-2006-3392, CVE-2006-4542. - Ytterligare information:
-
Flera sårbarheter har upptäckts i webmin, ett webbaserat administrationsverktyg. Projektet Common Vulnerabilities and Exposures identifierar följande sårbarheter:
- CVE-2005-3912
En formatsträngssårbarhet i miniserv.pl kunde göra det möjligt för en angripare att utföra en överbelastningsattack eller ta slut på system minne, och kunde möjligen möjliggöra exekvering av godtycklig kod.
- CVE-2006-3392
Felaktig städning av indata i miniserv.pl kunde göra det möjligt för en angripare att läsa godtycklig filer på webminservern genom att anropa med en specialskriven URL-sökväg på miniserv-http-servern.
- CVE-2006-4542
Felaktig hantering av null-tecknet i URL:er i miniserv.pl kunde göra det möjligt för en angripare att utföra serveröverskridande skriptangrepp, läsa CGI-programkällkod, lista lokala kataloger och möjligen exekvera godtycklig kod.
Stabila uppdateringar finns för alpha, amd64, arm, hppa, i386, ia64, m68k, mips, mipsel, powerpc, s390 och sparc.
För den stabila utgåvan (Sarge) har dessa problem rättats i version 1.180-3sarge1.
Webmin förekommer inte i den instabila utgåvan (Sid) eller i uttestningsutgåvan (Etch), så dessa problem förekommer inte där.
Vi rekommenderar att ni uppgraderar ert webmin (1.180-3sarge1)-paket.
- CVE-2005-3912
- Rättat i:
-
Debian GNU/Linux 3.1 (stable)
- Källkod:
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1.dsc
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1.diff.gz
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180.orig.tar.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/w/webmin/webmin-core_1.180-3sarge1_all.deb
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1_all.deb
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.