Webmin使用静态SSL密钥漏洞

漏洞信息详情

Webmin使用静态SSL密钥漏洞

• CNNVD编号：CNNVD-200212-407
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1947
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-10-07
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  webmin
• 漏洞来源：

Webmin是基于WEB接口的Linux/Unix系统管理工具，使用任何支持表单的浏览器可以设置用户帐户、APACHE、DNS、文件共享等。
Webmin使用的SSL密钥机制实现存在问题，远程攻击者可以利用这个漏洞嗅探劫持Webmin会话。
Webmin内置SSL密钥，不过每个安装Webmin版本都使用同样的SSL密钥，可导致攻击者利用这个密钥进行会话劫持，控制系统，也可能导致SSL会话过程的通信被解密。
＜*链接：ftp：//ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SN-02：06.asc
*＞

厂商补丁：
FreeBSD
——-
FreeBSD已经为此发布了一个安全公告(FreeBSD-SN-02:06)以及相应补丁:

FreeBSD-SN-02:06：Topic:security issues in ports

链接：ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SN-02:06.[需要添加].asc

FreeBSD发布了升级程序，建立用户升级Ports collection，并重新安装Port。
Webmin
——
供应商在1.020版本中通过使Webmin在安装阶段生成唯一的密钥来修正了这个问题。早期的版本用户建议生成自己的SSL密钥，而不要使用内建的SSL密钥。

Webmin Webmin 0.21:

Webmin Upgrade webmin-1.020.tar.gz

http://prdownloads.sourceforge.net/webadmin/webmin-1.020.tar.gz?download” target=”_blank”>
http://prdownloads.sourceforge.net/webadmin/webmin-1.020.tar.gz?download

来源: BID
名称: 5936
链接:http://www.securityfocus.com/bid/5936

来源: XF
名称: webmin-identical-ssl-keys(10381)
链接:http://www.iss.net/security_center/static/10381.php

来源: www.webmin.com
链接:http://www.webmin.com/changes.html

来源: FREEBSD
名称: FreeBSD-SA-02:06
链接:ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SN-02%3A06.asc

来源：NSFOCUS
名称：3657
链接：http://www.nsfocus.net/vulndb/3657