Wieder Root-Zugriff durch Lücke in Konfigurationstool Webmin möglich
In miniserv.pl steckt eine Format-String-Schwachstelle in der Syslog-Funktion, mit der sich die Applikation zum Absturz bringen lässt; unter bestimmten Umständen soll sich damit auch Schadcode einbringen und ausführen lassen.
Anwender der Unix-Konfigurations-Frontends Webmin und Usermin sollten ihr System aktualisieren, um eine Sicherheitslücke im miniserv.pl-Server zu schließen. Einem Advisory auf Bugtraq zufolge steckt dort eine Format-String-Schwachstelle in der Syslog-Funktion, mit der sich die Applikation zum Absturz bringen lässt; unter bestimmten Umständen soll sich damit auch Schadcode einbringen und ausführen lassen. Da Webmin üblicherweise mit Root-Rechten läuft, könnte ein Angreifer damit das gesamte System unter seine Kontrolle bringen.
Um den Fehler auszunutzen, genügt die Angabe eines präparierten Benutzernamens bei der Anmeldung. Ein gültiges Konto ist dafür aber nicht erforderlich, es reicht, dass eine Verbindung zum Webserver möglich ist -- standardmäßig horcht er auf dem TCP-Port 10000. Ein Proof-of-Concept-Exploit soll bereits existieren. Laut Fehlerbeschreibung wurde die Lücke bereits am 23. September entdeckt. Betroffen sind alle Versionen von Webmin vor 1.250 sowie Usermin vor 1.180.
Einen ähnlichen Fehler in miniserv.pl gab es bereits vor zwei Monaten. Damals konnte man sich durch Angabe bestimmter Benutzernamen an der Authentifizierung vorbeimogeln
Siehe dazu auch: (dab)
- Webmin miniserv.pl perl format string vulnerability, Fehlerbericht von Dyad Security
