发布日期：2002-03-20
更新日期：2002-03-28

受影响系统：

Webmin Webmin 0.92-1
Webmin Webmin 0.92

不受影响系统：

Webmin Webmin 0.93

描述：

---

BUGTRAQ  ID: 4328
CVE(CAN) ID: CVE-2002-1672

Webmin是一宽基于WEB接口的Unix和Linux操作系统系统管理程序。

Webmin在从RPM安装时存在问题，建立全局可读的/var/webmin目录，可导致敏感信息被泄露。

Webmin在RPM安装后建立的/var/webmin目录全局可读，如果命令日志功能激活的情况下，就可能造成本地攻击者读取root用户基于COOKIE的认证信息，使用这些认证信息就可以劫持ROOT用户的Webmin会话并控制整个系统。

目录/etc/webmin/servers/也以全局可读属性设置，并且以明文方式存在相关认证信息，可导致劫持ROOT用户的Webmin会话并控制整个系统。

<*来源：advisory （advisory@prophecy.net.nz）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-03/0245.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 设置正确的日志目录属性。

厂商补丁：

Webmin
------
目前厂商已经在新版的软件中修复了这个安全问题，请到厂商的主页下载：

http://www.webmin.com/download/webmin-0.93.tar.gz

浏览次数：3827
严重程度：0（网友投票）