int(3254)

Boletines de Vulnerabilidades

Múltiples cross-site scripting en Webmin

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Integridad
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema
Propiedad Valor
Fabricante afectado Networking
Software afectado Webmin < 1.350

Descripción
Se han encontrado múltiples vulnerabilidades del tipo cross-site scripting en Webmin en las versiones anteriores a la 1.350. La vulnerabilidad reside en un error en pam_login.cgi.

Un atacante remoto podría inyectar código script web o código HTML de forma arbitraria mediante los parámetros cid, message o question.

Solución


Actualización de software

Mandriva

Mandriva Linux 2007
X86
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/i586/webmin-1.290-4.4mdv2007.0.noarch.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/SRPMS/webmin-1.290-4.4mdv2007.0.src.rpm
X86_64
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/x86_64/webmin-1.290-4.4mdv2007.0.noarch.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.0/SRPMS/webmin-1.290-4.4mdv2007.0.src.rpm

Corporate Server 4.0
X86
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/i586/webmin-1.220-9.8.20060mlcs4.noarch.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/SRPMS/webmin-1.220-9.8.20060mlcs4.src.rpm
X86_64
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/x86_64/webmin-1.220-9.8.20060mlcs4.noarch.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/4.0/SRPMS/webmin-1.220-9.8.20060mlcs4.src.rpm

Mandriva Linux 2007.1
X86
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/i586/webmin-1.320-1.1mdv2007.1.noarch.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/SRPMS/webmin-1.320-1.1mdv2007.1.src.rpm
X86_64
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/x86_64/webmin-1.320-1.1mdv2007.1.noarch.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2007.1/SRPMS/webmin-1.320-1.1mdv2007.1.src.rpm

Identificadores estándar
Propiedad Valor
CVE CVE-2007-3156
BID 24381

Recursos adicionales
Mandriva Security Advisory (MDKSA-2007:135)
http://www.mandriva.com/security/advisories?name=MDKSA-2007:135

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2007-06-26

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT