Webmin

Продукт
Дата премьеры системы: 1997/10/05
Дата последнего релиза: 2019/08/20
Технологии: ITSM - Системы управления IT-службой

Webmin — это программный комплекс, позволяющий администрировать операционную систему через веб-интерфейс, в большинстве случаев, позволяя обойтись без использования командной строки и запоминания системных команд и их параметров.

2019: Версия Webmin 1.930

20 августа 2019 года стало известно, что в WEBMIN исправлена критическая уязвимость.

Впервые о проблеме стало известно 10 августа, однако разработчики узнали о ней только спустя неделю.

Webmin 1.930

Разработчики приложения с открытым исходным кодом Webmin, предназначенного для администрирования Unix-подобных систем, выпустили версию Webmin 1.930 и связанную с ней версию Usermin 1.780. Обновление исправляет критическую уязвимость (CVE-2019-15107), позволяющую удаленно выполнять код при определенных настройках конфигурации ПО.

«
Релиз исправляет раскрытую уязвимость CVE-2019-15107. Мы не получали никаких предварительных уведомлений о ней, что весьма непривычно и неэтично со стороны обнаружившего ее исследователя. Однако при данных обстоятельствах нам не остается ничего другого, кроме как поскорее выпустить исправление,
сообщил один из разработчиков Webmin Джо Купер (Joe Cooper)
»

Уязвимость позволяет внедрять команды до прохождения аутентификации. Проблема связана с использованием qx// в одном из вызовов функции &unix_crypt (строка password_change.cgi:). Поскольку qx// равнозначен открывающим кавычкам в Perl, все данные в // будут запускаться в оболочке.Банковская цифровизация: ускоренное импортозамещение и переход на инновации. Обзор и рейтинг TAdviser 13.2 т

Уязвимость существует только при определенных настройках конфигурации ПО на Perl – если политики истечения срока действия пароля Webmin -> Webmin Configuration -> Authentication -> Password установлены на Prompt users with expired passwords to enter a new one («подсказывать пользователю с истекшим паролем ввести новый»). Эта опция не установлена по умолчанию, но в случае, если пользователь сам ее установил, возможно удаленное выполнение кода.

Проблема затрагивает все версии Webmin, начиная от 1.882 и заканчивая 1.920. Версия Webmin 1.890 уязвима даже при заводских настройках конфигурации.

По словам Купера, патч также исправляет несколько XSS-уязвимостей, о которых исследователи сообщили в должном порядке, за что им было выплачено денежное вознаграждение[1].

Примечания



СМ. ТАКЖЕ (1)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  РусБИТех-Астра (ГК "Астра") (1, 2)
  Флант (Flant) (1, 1)
  Другие (0, 0)