Webmin和Usermin跨站脚本漏洞

发表评论 (0) 查看评论

漏洞起因
输入验证错误
 
影响系统
Webmin Webmin 1.290
Webmin Webmin 1.280
Webmin Webmin 1.270
Webmin Webmin 1.260
Webmin Webmin 1.250
Webmin Webmin 1.240
Webmin Webmin 1.230
Webmin Webmin 1.220
Webmin Webmin 1.210
Webmin Webmin 1.200
Webmin Webmin 1.190
Webmin Webmin 1.180
Webmin Webmin 1.170
Webmin Webmin 1.160
Webmin Webmin 1.150
Webmin Webmin 1.140
Webmin Webmin 1.130
Webmin Webmin 1.121
Webmin Webmin 1.110
Webmin Webmin 1.100
Webmin Webmin 1.0 90
Webmin Webmin 1.0 80
Webmin Webmin 1.0 70
+ HP Apache-Based Web Server 1.3.27 .01
+ HP Apache-Based Web Server 1.3.27 .01
+ HP Webmin-Based Admin 1.0.1 .01
+ HP Webmin-Based Admin 1.0.1 .01
+ Turbolinux Turbolinux Server 8.0
+ Turbolinux Turbolinux Server 8.0
+ Turbolinux Turbolinux Server 7.0
+ Turbolinux Turbolinux Server 7.0
+ Turbolinux Turbolinux Workstation 8.0
Webmin Webmin 1.0 60
Webmin Webmin 1.0 50
Webmin Webmin 1.0 20
Webmin Webmin 1.0 00
Webmin Webmin 0.990
Webmin Webmin 0.980
Webmin Webmin 0.970
Webmin Webmin 0.960
Webmin Webmin 0.950
Webmin Webmin 0.94
Webmin Webmin 0.93
Webmin Webmin 0.92 -1
Webmin Webmin 0.92
Webmin Webmin 0.91
Webmin Webmin 0.89
+ Caldera OpenLinux Server 3.1.1
+ Caldera OpenLinux Server 3.1.1
+ Caldera OpenLinux Server 3.1.1
+ Caldera OpenLinux Server 3.1
+ Caldera OpenLinux Server 3.1
+ Caldera OpenLinux Server 3.1
+ Caldera OpenLinux Workstation 3.1.1
+ Caldera OpenLinux Workstation 3.1
+ Caldera OpenLinux Workstation 3.1
+ Caldera OpenLinux Workstation 3.1
Webmin Webmin 0.88
Webmin Webmin 0.85
– Caldera OpenLinux 2.4
– Caldera OpenLinux 2.4
– Caldera OpenLinux 2.3
– Caldera OpenLinux 2.3
– MandrakeSoft Corporate Server 1.0.1
– MandrakeSoft Linux Mandrake 7.2
– MandrakeSoft Linux Mandrake 7.2
– MandrakeSoft Linux Mandrake 7.1
– MandrakeSoft Linux Mandrake 7.1
Webmin Webmin 0.80
Webmin Webmin 0.79
Webmin Webmin 0.78
Webmin Webmin 0.77
Webmin Webmin 0.76
Webmin Webmin 0.51
Webmin Webmin 0.42
Webmin Webmin 0.41
Webmin Webmin 0.31
Webmin Webmin 0.22
Webmin Webmin 0.21
Webmin Webmin 0.8.5 Red Hat
+ RedHat Linux 7.0
Webmin Webmin 0.8.4
– Caldera OpenLinux Desktop 2.3
– Caldera OpenLinux Desktop 2.3
– MandrakeSoft Linux Mandrake 7.2
– MandrakeSoft Linux Mandrake 7.2
– MandrakeSoft Linux Mandrake 7.1
– MandrakeSoft Linux Mandrake 7.1
– SCO eDesktop 2.4
– SCO eDesktop 2.4
– SCO eServer 2.3.1
Webmin Webmin 0.8.3
– Caldera OpenLinux 2.4
– Caldera OpenLinux 2.4
– Caldera OpenLinux 2.3
– Caldera OpenLinux 2.3
– MandrakeSoft Corporate Server 1.0.1
– MandrakeSoft Linux Mandrake 7.2
– MandrakeSoft Linux Mandrake 7.2
– MandrakeSoft Linux Mandrake 7.1
– MandrakeSoft Linux Mandrake 7.1
Webmin Webmin 0.7
Webmin Webmin 0.6
Webmin Webmin 0.5 x
Webmin Webmin 0.5
Webmin Webmin 0.4
Webmin Webmin 0.3
Webmin Webmin 0.2
Webmin Webmin 0.1
Webmin Webmin 1.430
Webmin Webmin 1.390
Webmin Webmin 1.370
Webmin Webmin 1.350
Webmin Webmin 1.340
Webmin Webmin 1.330
Webmin Webmin 1.320
Webmin Webmin 1.296
Webmin Webmin 0
Webmin Usermin 1.180
Webmin Usermin 1.170
Webmin Usermin 1.160
Webmin Usermin 1.150
Webmin Usermin 1.140
Webmin Usermin 1.130
Webmin Usermin 1.120
Webmin Usermin 1.110
Webmin Usermin 1.0
Webmin Usermin 1.0
Webmin Usermin 0.99
+ MandrakeSoft Linux Mandrake 9.0
Webmin Usermin 0.98
+ HP Apache-Based Web Server 2.0.43 .00
+ HP Apache-Based Web Server 1.3.27 .00
+ HP Webmin-Based Admin 1.0 .01
Webmin Usermin 0.97
+ MandrakeSoft Linux Mandrake 8.2 ppc
+ MandrakeSoft Linux Mandrake 8.2
+ MandrakeSoft Linux Mandrake 8.1 ia64
+ MandrakeSoft Linux Mandrake 8.1
+ MandrakeSoft Linux Mandrake 8.0 ppc
+ MandrakeSoft Linux Mandrake 8.0
+ MandrakeSoft Linux Mandrake 7.2
+ MandrakeSoft Single Network Firewall 7.2
Webmin Usermin 0.96
Webmin Usermin 0.95
Webmin Usermin 0.94
+ Debian Linux 3.0 sparc
+ Debian Linux 3.0 s/390
+ Debian Linux 3.0 ppc
+ Debian Linux 3.0 mipsel
+ Debian Linux 3.0 mips
+ Debian Linux 3.0 m68k
+ Debian Linux 3.0 ia-64
+ Debian Linux 3.0 ia-32
+ Debian Linux 3.0 hppa
+ Debian Linux 3.0 arm
+ Debian Linux 3.0 alpha
Webmin Usermin 0.93
Webmin Usermin 0.92
Webmin Usermin 0.91
Webmin Usermin 0.9
Webmin Usermin 0.8
Webmin Usermin 0.7
Webmin Usermin 0.6
Webmin Usermin 0.5
Webmin Usermin 0.4
Webmin Usermin 1.320
Webmin Usermin 1.300
Webmin Usermin 1.226
Webmin Usermin 1.220
 
不受影响系统
Webmin Webmin 1.500
Webmin Usermin 1.430
 
危害
远程攻击者可以利用漏洞访问应用系统。
 
攻击所需条件
攻击者必须访问Webmin和Usermin。
 
漏洞信息
Webmin是一款基于WEB的Unix和Linux操作系统系统管理接口;Usermin则设计用于操作用户级别的任务,允许Unix系统中用户简单的进行接收邮件、执行SSH和邮件转发配置。
Webmin和Usermin存在输入验证问题,攻击者可以利用漏洞,诱使用户访问不可信WEB站点,允许攻击者获得目标用户会话cookie无需密码访问应用系统。
 
测试方法
 
厂商解决方案
Webmin Webmin 1.500和Webmin Usermin 1.430已经修复此漏洞,建议用户下载使用:
http://prdownloads.sourceforge.net/webadmin/webmin-1.500.tar.gz
 
漏洞提供者
Robin Park and Dmitri Vinokurov

发表评论?

0 条评论。

发表评论