Webmin — это Web интерфейс для системных администраторов UNIX. Используя любой браузер, который поддерживает таблицы и формы, вы можете
работать с пользовательскими accountами, Apachе
Server, DNS, зашаренными ресурсами и т.п. Webmin состоит из простого web сервера, и множества CGI скриптов, которые непосредственно модернизируют файлы системы,
подобные /etc/inetd.conf и /etc/passwd. Web server и все CGI приложения написаны на Perl 5 и не используют никакие внешние модули. 

Все версии Webmin до текущей (0.85) не в состоянии удалять важную информацию,
которая хранится в некоторых внешних переменных. Одна такая переменная содержит логин администратора Webmin и пароль в 64-битной кодируемой форме. Атакующий может тривиально прочитать эту информацию и расшифровать ее, в конечном счете, получая root привилегии. 

Для использования этой уязвимости достаточно запустить webmin, затем
выполнить скрипт <?php phpinfo() ?> и
просмотреть переменные окружения.

Для устранения данной уязвимости требуется обновить все предыдущие версии до версии 0.85.



Оставить мнение