Rechnerverwaltung: Webmin-Nutzer könnten Schadcode einschleusen
Sicherheitslücken in der System-Fernverwaltungssoftware Webmin ermöglichen eingeschränkten Nutzern, ihre Rechte auszuweiten und beliebigen Code auszuführen.
(Bild: Sashkin/Shutterstock.com)
Ein Sicherheitsforscher hat zwei Sicherheitslücken in der Rechner-Fernverwaltungssoftware Webmin 1.984 demonstriert, durch die angemeldete Nutzer mit eingeschränkten Rechten in Webmin beliebigen Code einschleusen und mit vollen Webmin-Rechten ausführen könnten. Die Webmin-Entwickler haben die Lücken bestätigt. Fehlerbehebungen sind im Quelltext verfügbar.
Hinter Webmin steckt eine Web-basierte Oberfläche, mit der sich die Konfigurationen diverser Unix-Dienste auf einer Maschine bearbeiten lassen. Dazu lassen sich den Webmin-Nutzern Rechte zuweisen, sodass sie beispielsweise nur bestimmte Dienste, etwa ausschließlich den Mailserver, konfigurieren dürfen. Durch die Schwachstellen könnten solche Nutzer beliebigen Code auf die Maschine schieben und dort ausführen.
Unerlaubte Zugriffe
Der erste Proof-of-Concept-Exploit führt vor, wie ein Nutzer ohne Rechte am Dateimanager beliebige Dateien damit herunterladen und die Dateirechte via chmod modifizieren können. Ein zweiter Exploit zeigt, wie Nutzer aufgrund mangelhafter Zugriffsbeschränkungen auf ein cronjob-Skript anderen Nutzern – etwa root – Zugriff auf cron entziehen können.
Die Webmin-Maintainer haben die Sicherheitslücken auf der Bug-Bounty-Plattform huntr bestätigt und dem Entdecker ein Kopfgeld in unbekannter Höhe gewährt. CVE-Nummern haben sie noch nicht vergeben. Im github-Repository haben sie jedoch bereits Fehlerbehebungen eingepflegt. Die Quellcode- und Installationspakete auf der Webmin-Download-Seite sind derzeit aber noch auf dem Stand der verwundbaren Version 1.984.
Linux-Distributionen, die Webmin mitliefern, dürften in Kürze aktualisierte Pakete verteilen. Da etwa SuSE, Red Hat oder Debian und darauf basierende Distributionen wie Ubuntu standardmäßig kein Webmin mehr anbieten, müssen Administratoren auf aktualisierte Pakete vom Webmin-Projekt warten oder den Quellcode aus dem github-Repository selber compilieren und diese Updates manuell installieren.
(dmk)