В Webmin обнаружена неофициально исправленная опасная уязвимость

image

Теги: уязвимости в программном обеспечении

Устраненная без соответствующих уведомлений брешь позволяет удалять произвольные файлы.

Как следует из сообщения на официальном web-сайте Техасского университета в Остине, исследователям учебного заведения удалось обнаружить опасную уязвимость в Webmin, популярном программном комплексе для удаленного администрирования. Брешь позволяет атакующему удалять произвольные файлы на целевой системе.

Вместе с тем, для успешной эксплуатации уязвимости, располагающейся в обработчике заданий cron (выполняется с правами пользователя root), пользователь должен успешно пройти процесс аутентификации. Удаление происходит в результате некорректной обработки файлов блокировки, содержащих относительный путь к файлу и разделении его нулевым символом в переменной user.

Стоит отметить, что данная уязвимость была устранена разработчиками еще в мае текущего года в версии Webmin 1.690. Однако тогда создатели программного комплекса не сообщили пользователям об исправлении бреши, отметив лишь, что в новой версии были исправлены несколько незначительных проблем и уязвимость межсайтового скриптинга.

Вместо публикации уведомления о выявлении опасной ошибки разработчики сообщили лишь о реализации дополнительной проверки на предмет существования пользователя в системе, что устраняет данную брешь.

Ознакомиться с подробным описанием уязвимости можно здесь

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus