Webmin/Usermin远程PAM认证绕过漏洞

漏洞信息详情

Webmin/Usermin远程PAM认证绕过漏洞

• CNNVD编号：CNNVD-200509-220
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2005-3042
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2005-09-22
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-09-22
  
• 厂        商：
  
  usermin
• 漏洞来源：
  JPCERTKeigo Yamaza…

Webmin是一款基于WEB的Unix和Linux操作系统系统管理接口；Usermin则设计用于操作用户级别的任务，允许Unix系统中用户简单的进行接收邮件、执行SSH和邮件转发配置。

Webmin和Usermin中存在远程PAM认证绕过漏洞。如果Usermin或Webmin配置模块启用了\”Support full PAM conversations?\”选项的话，就可能允许远程攻击者绕过认证，完全控制受影响的系统。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

Webmin Upgrade usermin-1.160.tar.gz

http://prdownloads.sourceforge.net/webadmin/usermin-1.160.tar.gz

Webmin Upgrade webmin-1.230.tar.gz

http://prdownloads.sourceforge.net/webadmin/webmin-1.230.tar.gz

来源: www.webmin.com

链接:http://www.webmin.com/changes-1.230.html

来源: MISC

链接:http://www.lac.co.jp/business/sns/intelligence/SNSadvisory_e/83_e.html

来源: VUPEN

名称: ADV-2005-1791

链接:http://www.frsirt.com/english/advisories/2005/1791

来源: SECUNIA

名称: 16858

链接:http://secunia.com/advisories/16858

来源: BUGTRAQ

名称: 20050921 [SNS Advisory No.83] Webmin/Usermin PAM Authentication Bypass Vulnerability

链接:http://archives.neohapsis.com/archives/bugtraq/2005-09/0257.html

来源: www.webmin.com

链接:http://www.webmin.com/uchanges-1.160.html

来源: OSVDB

名称: 19575

链接:http://www.osvdb.org/19575

来源: SUSE

名称: SUSE-SR:2005:024

链接:http://www.novell.com/linux/security/advisories/2005_24_sr.html

来源: MANDRIVA

名称: MDKSA-2005:176

链接:http://www.mandriva.com/security/advisories?name=MDKSA-2005:176

来源: GENTOO

名称: GLSA-200509-17

链接:http://www.gentoo.org/security/en/glsa/glsa-200509-17.xml

来源: SECUNIA

名称: 17282

链接:http://secunia.com/advisories/17282

来源: JVN

名称: JVN#40940493

链接:http://jvn.jp/jp/JVN%2340940493/index.html

来源: BID

名称: 14889

链接:http://www.securityfocus.com/bid/14889

来源: SREASON

名称: 17

链接:http://securityreason.com/securityalert/17