发布日期：2002-03-20
更新日期：2002-03-28

受影响系统：

Webmin Webmin 0.85
Webmin Webmin 0.80
Webmin Webmin 0.8.4
Webmin Webmin 0.8.3
Webmin Webmin 0.79
Webmin Webmin 0.78
Webmin Webmin 0.77
Webmin Webmin 0.76
Webmin Webmin 0.7
Webmin Webmin 0.6
Webmin Webmin 0.51
Webmin Webmin 0.5
Webmin Webmin 0.42
Webmin Webmin 0.41
Webmin Webmin 0.4
Webmin Webmin 0.31
Webmin Webmin 0.3
Webmin Webmin 0.22
Webmin Webmin 0.21
Webmin Webmin 0.2
Webmin Webmin 0.1

描述：

---

BUGTRAQ  ID: 4329
CVE(CAN) ID: CVE-2002-1673

Webmin是一款基于WEB接口的Unix和Linux操作系统管理程序。

Webmin对显示在WEB接口的输出没有很好过滤脚本代码，可导致恶意脚本代码被执行。

Webmin对一些系统文件等输出显示到WEB接口缺少充分的过滤，可以攻击者更改这些文件内容，当ROOT用户浏览时被执行，另外，攻击者也可以在其他类型输出里插入恶意Javascript代码，当ROOT用户浏览此链接的时候，导致脚本代码在ROOT用户浏览器上执行，泄露基于COOKIE认证的敏感信息。

<*来源：advisory （advisory@prophecy.net.nz）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-03/0245.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在漏洞修补之前不要浏览日志。

厂商补丁：

Webmin
------
目前厂商已经在新版的软件中修复了这个安全问题，请到厂商的主页下载：

http://www.webmin.com/download/webmin-0.93.tar.gz

浏览次数：3054
严重程度：0（网友投票）