Changer l'apparence
Alertes: Gentoo Webmin 1.x
OS affecté(s) : Gentoo LFS
Impact(s) : Révélation d'informations sensibles
Solution : Patch du fournisseur
Exploit : Disponible
ZATAZ ID : ASZ-2005-342
Localisation(s) : Distante
Date de découverte : 14.02.2005
Un internaute malveillant pourrait obtenir des informations sensibles par le biais de cette vulnérabilité.
Tavis Ormandy de Gentoo Linux Security Audit Team a rapporté une vulnérabilité pour le package Gentoo de webmin.
Lors de l'utilisation des commandes "buildpkg", ou emerge -b/-B, portage peut construire un binaire de tous packages présents dans l'arborescence portage. Le mot de passe crypté root est importé dans le fichier "miniserv.users" qui est inclus dans le package binaire créé avec portage ou la commande "buildpkg". Cette erreur peut être exploitée pour obtenir le mot de passe encrypté root pour de l'hôte sur lequel le package webmin est installé.
Les utilisateurs de Gentoo qui n'ont jamais construit de package binaire de webmin qui'ils ont partagé avec d'autres utilisateurs ne sont pas affectés.
Les utilisateurs de Webmin doivent supprimer immédiatement les packages binaires de webmin qu'ils partagent avec d'autres utilisateurs. Ces utilisateurs doivent aussi considéré que le mot de passe root de la machine qui a créé ce binaire, peut être dévoilé. Des procédures d'audit plus en avant avec des outils tels que rkhunter, etc. sont conseillés.
Si vous désirez construire de nouveaux paquets binaire de webmin, nous vous conseillons de mettre à jour vers la dernière version de webmin.
Veuillez noter que les informations diffusées par ZATAZ.net dans le cadre de sa rubrique Alertes ont comme
provenance des parties tierces.
ZATAZ.net collecte, valide et vérifie les vulnérabilités diffusées par les fournisseurs, groupes de recherches
spécialisés dans la sécurité informatique, etc.
Si vous désirez nous envoyer des alertes de sécurité que vous avez découvertes, contactez-nous sur alertes@zataz.net