CERTA-2004-AVI-202
Vulnerability from certfr_avis - Published: - Updated:
Plusieurs vulnérabilités ont été découvertes dans les outils Webmin et Usermin.
Description
Webmin et Usermin sont des outils d'administration pour les
plates-formes Unix basé sur une interface web. Plusieurs vulnérabilités
de Webmin et Usermin peuvent être exploitées par un utilisateur mal
intentionné.
La première vulnérabilité de Webmin permet à tous les utilisateurs
d'avoir accès à la configuration des différents modules, et d'obtenir
ainsi des informations importantes sur le système.
La deuxième vulnérabilité concerne une mauvaise gestion par Usermin des
messages électroniques au format HTML permettant l'exécution de code
malicieux.
La troisième vulnérabilité concerne Webmin et Usermin. Un utilisateur
mal intentionné peut, par le biais d'informations d'authentification
erronées, bloquer l'accès du service aux utilisateurs légitimes.
Solution
- Mettre à jour l'outil Webmin. La version 1.150 corrige ces vulnérabiltiés.
- Mettre à jour l'outil Usermin. La version 1.080 corrige ces vulnérabiltiés.
Impacted products
References
| Title | Publication Time | Tags | |
|---|---|---|---|
|
|
|||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Usermin version 1.070 et versions ant\u00e9rieures ;",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
},
{
"description": "Webmin version 1.140-r1 et versions ant\u00e9rieures ;",
"product": {
"name": "N/A",
"vendor": {
"name": "N/A",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nWebmin et Usermin sont des outils d\u0027administration pour les\nplates-formes Unix bas\u00e9 sur une interface web. Plusieurs vuln\u00e9rabilit\u00e9s\nde Webmin et Usermin peuvent \u00eatre exploit\u00e9es par un utilisateur mal\nintentionn\u00e9. \nLa premi\u00e8re vuln\u00e9rabilit\u00e9 de Webmin permet \u00e0 tous les utilisateurs\nd\u0027avoir acc\u00e8s \u00e0 la configuration des diff\u00e9rents modules, et d\u0027obtenir\nainsi des informations importantes sur le syst\u00e8me. \nLa deuxi\u00e8me vuln\u00e9rabilit\u00e9 concerne une mauvaise gestion par Usermin des\nmessages \u00e9lectroniques au format HTML permettant l\u0027ex\u00e9cution de code\nmalicieux. \nLa troisi\u00e8me vuln\u00e9rabilit\u00e9 concerne Webmin et Usermin. Un utilisateur\nmal intentionn\u00e9 peut, par le biais d\u0027informations d\u0027authentification\nerron\u00e9es, bloquer l\u0027acc\u00e8s du service aux utilisateurs l\u00e9gitimes.\n\n## Solution\n\n- Mettre \u00e0 jour l\u0027outil Webmin. La version 1.150 corrige ces\n vuln\u00e9rabilti\u00e9s.\n- Mettre \u00e0 jour l\u0027outil Usermin. La version 1.080 corrige ces\n vuln\u00e9rabilti\u00e9s.\n",
"cves": [],
"links": [
{
"title": "Site Internet des changements de Webmin :",
"url": "http://www.webmin.com/changes-1.150.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 SNS Advisory No. 75 du 11 juin 2004 :",
"url": "http://www.lac.co.jp/security/csl/intelligence/SNSadvisory_e/75_e.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA-200406-12 du 16 juin 2004 :",
"url": "http://www.gentoo.org/security/en/glsa/glsa-200406-12.xml"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 SNS Advisory No. 74 du 11 juin 2004 :",
"url": "http://www.lac.co.jp/security/csl/intelligence/SNSadvisory_e/74_e.html"
},
{
"title": "Site Internet de Webmin et Usermin :",
"url": "http://www.webmin.com/"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA-200406-15 du 18 juin 2004 :",
"url": "http://www.gentoo.org/security/en/glsa/glsa-200406-15.xml"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mandrake MDKSA-2004:074 du 27 juillet 2004 :",
"url": "http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:074"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-526 du 03 juillet 2004 :",
"url": "http://www.debian.org/security/2004/dsa-526"
}
],
"reference": "CERTA-2004-AVI-202",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2004-06-17T00:00:00.000000"
},
{
"description": "ajout des r\u00e9f\u00e9rences \u00e0 Usermin. Ajout des bulletins de s\u00e9curit\u00e9 SNS, Debian et des r\u00e9f\u00e9rences CVE.",
"revision_date": "2004-07-05T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Mandrake.",
"revision_date": "2004-07-28T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service"
},
{
"description": "Divulgation d\u0027informations confidentielles"
}
],
"summary": "Plusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans les outils Webmin et\nUsermin.\n",
"title": "Vuln\u00e9rabilit\u00e9 de Webmin et Usermin",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200406-12",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…