Webmin 用户请求处理 远程目录遍历漏洞

漏洞信息详情

Webmin 用户请求处理 远程目录遍历漏洞

• CNNVD编号：CNNVD-200606-570
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2006-3274
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2006-06-28
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-06-29
  
• 厂        商：
  
  webmin
• 漏洞来源：
  Keigo Yamazaki sns…

Webmin是澳大利亚软件开发者Jamie Cameron和Webmin社区共同开发的一套基于Web的用于类Unix操作系统中的系统管理工具。

Webmin对用户请求的处理上存在目录遍历漏洞，远程攻击者可能利用此漏洞遍历服务器目录非授权访问文件。

Webmin没有正确的过滤反斜线(\”＼\”)。在Windows平台上。攻击者访问公共目录和文件以外的内容。在Webmin的默认配置中，远程攻击者可以利用目录遍历攻击下载任意文件。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.webmin.com/webmin/

来源: www.webmin.com

链接:http://www.webmin.com/changes.html

来源: BID

名称: 18613

链接:http://www.securityfocus.com/bid/18613

来源: BUGTRAQ

名称: 20060623 [SNS Advisory No.88] Webmin Directory Traversal Vulnerability

链接:http://www.securityfocus.com/archive/1/archive/1/438149/100/0/threaded

来源: MISC

链接:http://www.lac.co.jp/business/sns/intelligence/SNSadvisory_e/88_e.html

来源: VUPEN

名称: ADV-2006-2493

链接:http://www.frsirt.com/english/advisories/2006/2493

来源: SECTRACK

名称: 1016375

链接:http://securitytracker.com/id?1016375

来源: SECUNIA

名称: 20777

链接:http://secunia.com/advisories/20777

来源: JVN

名称: JVN#67974490

链接:http://jvn.jp/jp/JVN%2367974490/index.html

来源: XF

名称: webmin-backslash-directory-traversal(27366)

链接:http://xforce.iss.net/xforce/xfdb/27366

来源: SREASON

名称: 1161

链接:http://securityreason.com/securityalert/1161