YunTech
:::
您現在的位置:首頁 arrow 最新消息 arrow Unix管理工具Webmin爆有遠端程式碼執行漏洞

  Unix管理工具Webmin爆有遠端程式碼執行漏洞
張貼日期:2019-08-21  

貼到Twitter 貼到Facebook   貼到Plurk  

Unix管理工具Webmin爆有遠端程式碼執行漏洞

資料來源:iThome

全文出處:https://www.ithome.com.tw/news/132511


漏洞存在於Webmin在1.920之前的版本,可讓遠端駭客以根權限執行惡意指令

文/林妍溱 | 2019-08-20發表

土耳其安全研究人員Özkan Mustafa Akkuş發現Webmin上出現遠端程式碼執行漏洞,影響1.920版本以前的Webmin,它出在password_change.cgi元件中一段程式碼中。許多webmin管理員都會開啟「user password change」的功能,它讓使用者可以將過期舊密碼重設為新密碼。研究人員發現,只要在傳送的指令參數中包含old引數(Argument),password_change.cgi看到有old就驗證通過,不論輸入的用戶名稱、舊密碼或其他資訊是否正確。(圖片來源/Özkan Mustafa Akkuş)

廣受歡迎的Unix類伺服器Web化管理工具Webmin被發現有遠端程式碼執行(RCE)漏洞,可讓遠端駭客以根權限執行惡意指令。

Webmin是許多Unix作業系統如Linux、FreeBSD、OpenBSD等遠端系統管理員愛用的Web app,可用以修改OS設定、建立用戶帳號、管理磁碟容量、檔案或服務,以及管理遠端伺服器上的軟體如Apache HTTP Server、BIND DNS Server、MySQL、PHP、Exim等等。Webmin官方GitHub網頁宣稱其全球用戶超過百萬。