Множественные уязвимости в Webmin

Дата публикации:
07.09.2012
Дата изменения:
07.09.2012
Всего просмотров:
4322
Опасность:
Средняя
Наличие исправления:
Инстуркции по устранению
Количество уязвимостей:
3
CVSSv2 рейтинг:
(AV:N/AC:L/Au:S/C:C/I:C/A:C/E:U/RL:W/RC:C) = Base:9/Temporal:7.3
(AV:N/AC:L/Au:S/C:C/I:C/A:C/E:U/RL:W/RC:C) = Base:9/Temporal:7.3
(AV:N/AC:L/Au:S/C:P/I:N/A:N/E:U/RL:W/RC:C) = Base:4/Temporal:3.2
CVE ID:
CVE-2012-2981
CVE-2012-2982
CVE-2012-2983
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Webmin 1.x
Уязвимые версии: Webmin 1.580, возможно другие версии.

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к важным данным и скомпрометировать целевую систему.

1. Уязвимость существует из-за недостаточной проверки входных данных в имени типа монитора в сценариях edit_mon.cgi и save_mon.cgi. Удаленный аутентифицированный пользователь может с помощью специально сформированного запроса внедрить и выполнить произвольный Perl код на системе.

2. Уязвимость существует из-за недостаточной обработки пути в сценарии show.cgi перед вызовом функции "open()". Удаленный аутентифицированный пользователь может внедрить и выполнить произвольные команды на системе.

3. Уязвимость существует из-за недостаточной обработки входных данных в параметре "file" в сценарии edit_html.cgi. Удаленный аутентифицированный пользователь может просмотреть содержимое произвольных файлов на системе.

URL производителя: www.webmin.com

Решение: Установите исправление из GIT репозитория производителя.

Исправление для CVE-2012-2981
https://github.com/webmin/webmin/commit/ed7365064c189b8f136a9f952062249167d1bd9e

Исправление для CVE-2012-2982
https://github.com/webmin/webmin/commit/1f1411fe7404ec3ac03e803cfa7e01515e71a213

Исправление для CVE-2012-2983
https://github.com/webmin/webmin/commit/4cd7bad70e23e4e19be8ccf7b9f245445b2b3b80


Ссылки: http://www.kb.cert.org/vuls/id/788478
или введите имя

CAPTCHA