Vulnerability Bulletins |
Salto de autenticación en Webmin |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Aumento de la visibilidad |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software |
Webmin < 1.220 Usermin < 1.160 |
Description |
|
|
Se ha descubierto una vulnerabilidad en versiones anteriores a Webmin 1.220 y Usermin 1.160. La vulnerabilidad reside en el script Miniserv.pl que cuando la opción "full PAM conversations" se encuentra activada no valida correctamente ciertos metacaracteres. Un atacante remoto podría saltar los mecanismos de autenticación mediante la falsificación del identificador de sesión a través del uso de ciertos metacaracteres. |
|
Solution |
|
|
Actualización de software Mandrake (Webmin) Mandrivalinux 2006 X86 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/RPMS/webmin-1.220-9.1.20060mdk.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/SRPMS/webmin-1.220-9.1.20060mdk.src.rpm X86_64 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/x86_64/2006.0/RPMS/webmin-1.220-9.1.20060mdk.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/x86_64/2006.0/SRPMS/webmin-1.220-9.1.20060mdk.src.rpm Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2005-3042 |
| BID | |
Other resources |
|
|
Mandriva Security Advisory (MDKSA-2005:176) http://www.mandriva.com/security/advisories?name=MDKSA-2005:176 SUSE Security Advisory (SUSE-SR:2005:024) http://www.novell.com/linux/security/advisories/2005_24_sr.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2005-10-17 |
| 1.1 | Aviso emitido por Suse (SUSE-SR:2005:024) | 2005-10-25 |