Dedies-Board » Linux » News » Linux Newsarchiv » Root-Zugriff durch Lücke in Konfigurationstool Webmin

Root-Zugriff durch Lücke in Konfigurationstool Webmin

dedie
Durch eine Schwachstelle in den Unix-Konfigurations-Frontends Webmin und Usermin können sich Angreifer an der Authentifizierung vorbeimogeln. In der Folge lassen sich beliebige Befehle als Root ausführen. Ursache des Problems ist der zentrale miniserv.pl-Server, der bestimmte Zeichen bei der Anmeldung nicht korrekt überprüft, bevor er sie an das Pluggable Authentication Module (PAM) zur Authentifizierung und Überprüfung von Session-IDs weiterleitet.

Mit den Versionen 1.230 von Webmin sowie 1.160 von Usermin merzen die Entwickler den Fehler aus. Die Linux-Distributoren liefern aktualisierte Pakete aus. Gentoo weist in einem Advisory darauf hin, dass in seiner Dsitribution standardmäßig "full PAM conversation" ausgeschaltet ist und der Fehler damit nicht zum Tragen kommt.

QUELLE
Vimes
Zitat:
Original von dedie
Gentoo weist in einem Advisory darauf hin, dass in seiner Dsitribution standardmäßig "full PAM conversation" ausgeschaltet ist und der Fehler damit nicht zum Tragen kommt.


Hehe.

MfG
Vimes
MobyDuck
Da kommen natürlich gleich wieder die dummen Fragen des ILN (interessierten Linux-Novizen):

Zitat:
Hehe.

Gönne dir den Spaß. Aber: Welcher normalsterbliche User braucht Webmin? Ich als Anfänger wusste ehrlich gesagt noch gar nicht, dass es das Proggie gibt. Bin heute abend auch irgendwie zu faul rauszubekommen, was ich da bisher vielleicht verpasst habe.

Die Meldung ist übrigens nicht ganz taufrisch:
http://secunia.com/advisories/16858/

Davon ganz abgesehen: In den Ubuntu-Paketquellen stehen immer noch Ver. 1.210 bzw. 1.090. Ist natürlich ein Unding. Augen rollen
Vimes
Zitat:
Original von MobyDuck
Aber: Welcher normalsterbliche User braucht Webmin?


Keiner. Deswegen freut es mich ja, daß es bei gentoo per default aus ist.
Ist es bei Ubuntu an? Würde mich wundern, die Distribution ist doch sonst erfreulich, was die Standard-Konfigurationen angeht (z.B. CUPS). [1]

MfG
Vimes

[1] Keine Ironie. CUPS z.B. ist an das lokale Interface gebunden und damit benutz- aber nicht von außen erreichbar. So muß es sein.
MobyDuck
> Ist es bei Ubuntu an?

Nö. Ist überhaupt nicht installiert. Wer gerne möchte, kann sich die angreifbaren Versionen aus den Ubuntu-Quellen runterladen, siehe oben.
Vimes
Wunderbar. So sollte das sein. Ich halte nichts davon, komplexe Tools als default zu installieren und womöglich noch zu aktivieren. Bei Susi z.B. SSH. Völlig unnütz - diejenigen, die es brauchen, wissen, wie sie es installieren und gescheit einrichten. Die, die es nicht brauchen, sind ohne besser dran.

MfG
Vimes
MobyDuck
@ Vimes

Eine ganz interessante, wenn auch zunehmend verbissen geführte Diskussion zum Thema Server & Co. findet sich hier:
http://www.ubuntuusers.de/viewtopic.php?...der=asc&start=0
großes Grinsen
Vimes
@Moby: Weia.

Zitat:
Sorry, aber wenn ich hinaus kann, dann kann auch wer anderer hinein kommen.


Da habe ich dann aufgehört zu lesen... Petzauge

MfG
Vimes