Unix/Linux管理工具Webmin發現漏洞
責編:admin |2014-09-16 13:33:39Webmin是一個流行的Unix/Linux管理工具。 最近,德州大學的安全研究人員John Gordon發表了研究報告,發現Webmin存在漏洞,攻擊者可能利用漏洞來刪除服務器數據。
Webmin可以用來進行遠程root登錄。 在最新的cron模塊中的環境變量存在安全漏洞,黑客可以用來通過目錄遍歷的和空字節注入方式使得黑客能夠訪問私有目錄并且刪除數據,
為了能夠做到這一點,攻擊者只需要擁有受限的用戶權限就可以了。Gordon寫道:“利用目錄遍歷和空字節注入, 我們可以刪除任意目錄下的數據。 如果我們只是一個普通用戶, 我們通過在自己的用戶環境下添加一個環境變量,可以攻擊Webmin的root進程中的文件鎖管理。”
這個攻擊不能進行遠程代碼執行, 不過可以通過刪除服務器數據,如/etc/passwd造成服務器無法登錄。 Gordon呼吁網管盡快更新到Webmin1.690。