Lücke in Usermin erlaubt Systemzugriff
Usermin ist ein Modul zu Webmin, einem Programm zur Fernwartung eines Linux- oder Unix-Servers. Mit Usermin können sich Nutzer in den Server einloggen und ihren eigenen Benutzer-Account verwalten oder ihnen erlaubte Befehle auf dem Server ausführen. Zudem enthält das Modul eine Webmail-Oberfläche. In dieser ist jetzt eine kritische Sicherheitslücke aufgetaucht.
Der Fehler liegt in dem Modul, das die Filterung der Webmails vornimmt: Links zu anderen Modulen werden nicht ausgefiltert, sodass die Übergabe von Befehlen an die Shell möglich wird. Die Befehle erhalten dabei die Berechtigungen desjenigen, der die Mail liest.
Außerdem ist ein weiterer Fehler aufgetaucht, über den lokale Nutzer das Verzeichnis /tmp/.webmin erstellen können, bevor die Installationsroutine dies erledigt. Die Auswirkungen der Lücke sind noch unbekannt. Ein Update für Webmin steht auf der Homepage des Projekts bereit.
Um über aktuelle Sicherheitslücken auf dem Laufenden bleiben, stellt Ihnen tecCHANNEL in Kooperation mit Secunia die Security Reports zur Verfügung. Sie können den Service auch als kostenlosen Newsletter abonnieren. (mja)
tecCHANNEL Buch-Shop |
|
---|---|
Literatur zum Thema Open Source |
Titelauswahl |
Titel von Pearson Education |
|
PDF-Titel (50 % billiger als Buch) |