Mehrere Verwundbarkeiten wurden in webmin entdeckt, einem Web-basierten
Administrations-Toolkit. Das Common Vulnerabilities and
Exposures
-Projekt identifiziert die folgenden Verwundbarkeiten:
Eine Formatierungszeichenkettenverwundbarkeit in miniserv.pl kann es
einem Angreifer ermöglichen, eine Diensteverweigerung denial of
service
auszulösen, indem die Anwendung zum Absturz gebracht wird
oder Systemressourcen ausgeschöpft werden. Möglicherweise könnte
beliebiger Code ausgeführt werden.
Eine nicht korrekte Eingabebereinigung in miniserv.pl kann es einem Angreifer erlauben, beliebige Dateien auf dem Webmin-Host zu lesen, indem ein speziell erzeugter URL-Pfad an den miniserv-HTTP-Server übergeben wird.
Ein nicht korrekter Umgang mit Nullzeichen in URLs in miniserv.pl kann es einem Angreifer erlauben, Site-übergreifende Skripting-Angriffe durchzuführen, CGI-Programmquellcode zu lesen, lokale Verzeichnisse anzuzeigen und möglicherweise beliebigen Code auszuführen.
Aktualisierungen für Stable sind verfügbar für alpha, amd64, arm, hppa, i386, ia64, m68k, mips, mipsel, powerpc, s390 und sparc.
Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 1.180-3sarge1 behoben.
Webmin ist nicht in Unstable (Sid) oder Testing (Etch) vorhanden, diese Probleme treten deshalb dort nicht auf.
Wir empfehlen Ihnen, Ihr webmin-Paket (1.180-3sarge1) zu aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.