Lücke in Usermin erlaubt Systemzugriff

Das Webinterface Usermin enthält einen Fehler in der Webmail-Funktion. Darüber lassen sich HTML-Mails einschleusen, die beliebige Kommandos ausführen können.

Usermin ist ein Modul zu Webmin, einem Programm zur Fernwartung eines Linux- oder Unix-Servers. Mit Usermin können sich Nutzer in den Server einloggen und ihren eigenen Benutzer-Account verwalten oder ihnen erlaubte Befehle auf dem Server ausführen. Zudem enthält das Modul eine Webmail-Oberfläche. In dieser ist jetzt eine kritische Sicherheitslücke aufgetaucht.

Der Fehler liegt in dem Modul, das die Filterung der Webmails vornimmt: Links zu anderen Modulen werden nicht ausgefiltert, sodass die Übergabe von Befehlen an die Shell möglich wird. Die Befehle erhalten dabei die Berechtigungen desjenigen, der die Mail liest.

Außerdem ist ein weiterer Fehler aufgetaucht, über den lokale Nutzer das Verzeichnis /tmp/.webmin erstellen können, bevor die Installationsroutine dies erledigt. Die Auswirkungen der Lücke sind noch unbekannt. Ein Update für Webmin steht auf der Homepage des Projekts bereit.

Um über aktuelle Sicherheitslücken auf dem Laufenden bleiben, stellt Ihnen tecCHANNEL in Kooperation mit Secunia die Security Reports zur Verfügung. Sie können den Service auch als kostenlosen Newsletter abonnieren. (mja)

tecCHANNEL Buch-Shop

Literatur zum Thema Open Source

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50 % billiger als Buch)

Downloads