Webmin / Usermin Login存在跨站脚本执行漏洞

漏洞信息详情

Webmin / Usermin Login存在跨站脚本执行漏洞

• CNNVD编号：CNNVD-200208-056
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0756
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-05-08
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  webmin
• 漏洞来源：
  snsadv@lac.co.jp※…

Webmin是澳大利亚软件开发者Jamie Cameron和Webmin社区共同开发的一套基于Web的用于类Unix操作系统中的系统管理工具。Usermin则设计用于操作用户级别的任务，允许Unix系统中用户简单的进行接收邮件，执行SSH，和邮件转发配置。
Webmin / Usermin对用户提交给登录过程的数据缺少正确充分的检查，可导致远程攻击者进行跨站脚本执行攻击。
Webmin / Usermin在生成登录过程中错误信息页面时没有很好的过滤HTML和JAVASCRIPT代码，攻击者可以提交包含恶意脚本代码的数据，当由Webmin / Usermin生成错误信息页面时，目标用户查看此链接，可导致脚本代码在用户浏览器上执行。
由于此漏洞产生在用户没有登陆系统的情况下，所以攻击者不能获得Webmin和 Usermin的session ID，但可能获得基于WEB服务的COOKIE信息。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 严格过滤用户输入的数据，特别是字符<>

* 设置浏览器，关闭javascript功能。
厂商补丁：
Webmin
——
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Webmin Upgrade webmin-0.970.tar.gz

http://freshmeat.net/redir/webmin/11428/url_tgz/webmin-0.970.tar.gz” target=”_blank”>
http://freshmeat.net/redir/webmin/11428/url_tgz/webmin-0.970.tar.gz
Usermin
——-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Usermin Upgrade usermin-0.910.tar.gz

http://freshmeat.net/redir/usermin/28573/url_tgz/usermin-0.910.tar.gz” target=”_blank”>
http://freshmeat.net/redir/usermin/28573/url_tgz/usermin-0.910.tar.gz

来源: BID
名称: 4694
链接:http://www.securityfocus.com/bid/4694

来源: XF
名称: webmin-usermin-authpage-css(9036)
链接:http://www.iss.net/security_center/static/9036.php

来源: BUGTRAQ
名称: 20020508 [SNS Advisory No.52] Webmin/Usermin Cross-site Scripting Vulnerability
链接:http://archives.neohapsis.com/archives/bugtraq/2002-05/0040.html