Webmin pam_login.cgis远程跨站脚本执行漏洞

漏洞信息详情

Webmin pam_login.cgis远程跨站脚本执行漏洞

• CNNVD编号：CNNVD-200706-162
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2007-3156
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2007-06-11
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-06-13
  
• 厂        商：
  
  webmin
• 漏洞来源：
  webmin

Webmin是一款基于WEB的Unix和Linux操作系统管理界面。

Webmin的pam_login.cgi文件中存在多个跨站脚本漏洞，如果用户受骗访问了恶意网页的话，远程攻击者就可以通过cid、message或question参数向用户浏览器会话注入并执行任意脚本。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

Webmin

——

http://prdownloads.sourceforge.net/webadmin/webmin-1.350.tar.gz

Gentoo

——

Gentoo已经为此发布了一个安全公告(GLSA-200707-05)以及相应补丁:

GLSA-200707-05：Webmin, Usermin: Cross-site scripting vulnerabilities

链接：

http://security.gentoo.org/glsa/glsa-200707-05.xml

所有Webmin用户都应升级到最新版本：

# emerge –sync

# emerge –ask –verbose –oneshot “>=app-admin/webmin-1.350”

所有Usermin用户都应升级到最新的stable版本：

# emerge –sync

# emerge –ask –verbose –oneshot “>=app-admin/usermin-1.280”

来源: BID

名称: 24381

链接:http://www.securityfocus.com/bid/24381

来源: VUPEN

名称: ADV-2007-2117

链接:http://www.frsirt.com/english/advisories/2007/2117

来源: SECUNIA

名称: 25580

链接:http://secunia.com/advisories/25580

来源: www.webmin.com

链接:http://www.webmin.com/security.html

来源: www.webmin.com

链接:http://www.webmin.com/changes-1.350.html

来源: MANDRIVA

名称: MDKSA-2007:135

链接:http://www.mandriva.com/security/advisories?name=MDKSA-2007:135

来源: GENTOO

名称: GLSA-200707-05

链接:http://security.gentoo.org/glsa/glsa-200707-05.xml

来源: SECUNIA

名称: 25956

链接:http://secunia.com/advisories/25956

来源: SECUNIA

名称: 25785

链接:http://secunia.com/advisories/25785

来源: OSVDB

名称: 36932

链接:http://osvdb.org/36932