Boletines de Vulnerabilidades |
Salto de autenticación en Webmin |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de la visibilidad |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricant afectat | GNU/Linux |
Software afectado |
Webmin < 1.220 Usermin < 1.160 |
Descripción |
|
Se ha descubierto una vulnerabilidad en versiones anteriores a Webmin 1.220 y Usermin 1.160. La vulnerabilidad reside en el script Miniserv.pl que cuando la opción "full PAM conversations" se encuentra activada no valida correctamente ciertos metacaracteres. Un atacante remoto podría saltar los mecanismos de autenticación mediante la falsificación del identificador de sesión a través del uso de ciertos metacaracteres. |
|
Solución |
|
Actualización de software Mandrake (Webmin) Mandrivalinux 2006 X86 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/RPMS/webmin-1.220-9.1.20060mdk.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/SRPMS/webmin-1.220-9.1.20060mdk.src.rpm X86_64 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/x86_64/2006.0/RPMS/webmin-1.220-9.1.20060mdk.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/x86_64/2006.0/SRPMS/webmin-1.220-9.1.20060mdk.src.rpm Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2005-3042 |
BID | |
Recursos adicionales |
|
Mandriva Security Advisory (MDKSA-2005:176) http://www.mandriva.com/security/advisories?name=MDKSA-2005:176 SUSE Security Advisory (SUSE-SR:2005:024) http://www.novell.com/linux/security/advisories/2005_24_sr.html |
Histórico de versiones |
||
Versión | Comentario | Data |
1.0 | Aviso emitido | 2005-10-17 |
1.1 | Aviso emitido por Suse (SUSE-SR:2005:024) | 2005-10-25 |