Se ha detectado un fallo de seguridad que permitiría una escalada de privilegios en el popular sistema de administración a través del navegador Webmin, concretamente se trata de un cross site scripting que hace que el archivo useradmin/index.cgi no filtre adecuadamente los datos introducidos, lo cual propiciaría que el atacante falsificase su datos mediante javascript y «engañase» al sistema haciendose pasar por otro usuario de Webmin con mas privilegios que él.
Practicamente de forma inmediata se dió solución a este grave fallo con un parche que elimina esta vulnerabilidad. Lo tenéis disponible en este enlace, pero ojo, según parece desde la página oficial de descarga todavía se ofrece la versión con el error, asi que tened la precaución de haceros con el mencionado parche si la descargáis.
Webmin
Programas, Seguridad Informática / Comentarios desactivados en Fallo de seguridad en Webmin
Cibercultura / Comentarios desactivados en Publicado en Daboweb, Diciembre de 2009
Como viene siendo habitual, os recomendamos el recopilatorio de entradas publicadas en Daboweb (mes de Diciembre de 2009) por si en el día a día de la publicación, alguna que pudiera interesarte se te ha pasado por alto.
Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivos de contenidos publicados).
Diciembre 2009
- Artículos más leidos en Daboweb en el año 2009.
- Ubuntu 10.04 vendrá con Internet Explorer 9 instalado. (Feliz día de los inocentes-;)
- ¿Problemas con WordPress 2.9? instala la 2.9.1 Beta
- Daboweb os desea, Feliz Navidad
- Nuevos filtros Nauscópicos para Adblock Plus, Firefox 3.5.6 y otros navegadores basados en Gecko
- WordPress 2.9, nueva versión disponible
- Drupal, actualizaciones de seguridad, versiones 6.15 y 5.21
- Disponibles Firefox 3.5.6 y 3.0.16 solucionan vulnerabilidades críticas
- Revista gratuita fotográfica Foto DNG nº 40, Diciembre de 2009
- XSS (Cross-site scripting) en Webmin y Usermin.
- Actualizaciones de Microsoft Diciembre 2009
- Mozilla Thunderbird 3 versión final, descarga disponible.
- Exploit Database, la alternativa a Milw0rm.
- Liberado Kernel Linux 2.6.32
- Actualización foros SMF 1.1.11
- En defensa de los derechos fundamentales en Internet
- Publicado en Daboweb, Noviembre de 2009
Seguridad Informática / Comentarios desactivados en XSS (Cross-site scripting) en Webmin y Usermin.
Ha sido reportada por Ryan Giobbi una vulnerabilidad explotable tanto local como remotamente en Webmin y Usermin. Según nos informan desde Webmin, El bug se explota mediante un ataque por usuarios no autorizados contra la cookie de una sesión de un usuario con acceso a Webmin y podría permitir conectarse a su interfaz web sin introducir el password.
Aunque ciertamente no es fácil explotar este bug, os aconsejamos actualizar lo antes posible Webmin junto a Usermin dado que se trata de un software para controlar un servidor web con las consecuencias que un hecho así podría traer.
Las versiones afectadas son;
Webmin versiones anteriores a la 1.500.
Usermin versiones anteriores a 1.430.
La solución pasa por instalar;