广受欢迎的Unix类服务器Web化管理工具Webmin被发现有远端程序码执行(RCE)漏洞,可让远端黑客以根权限执行恶意指令。
Webmin是许多Unix作业系统如Linux、FreeBSD、OpenBSD等远端系统管理员爱用的Web app,可用以修改OS设定、建立用户帐号、管理硬盘容量、档案或服务,以及管理远端服务器上的软件如Apache HTTP Server、BIND DNS Server、MySQL、PHP、Exim等。Webmin官方GitHub网页宣称其全球用户超过百万。
土耳其安全研究人员Özkan Mustafa Akkuş近日发现Webmin上出现远端程序码执行(remote code execution,RCE)漏洞,并在上周的AppSec Village大会上公布。
这个编号CVE-2019-15107的漏洞影响1.920版本以前的Webmin,它出在password_change.cgi元件中一段程序码中。许多webmin管理员都会开启「user password change」的功能,它让使用者可以将过期旧密码重设为新密码。
研究人员发现,只要在传送的指令参数中包含old引数(Argument),password_change.cgi看到有old就验证通过,不论输入的用户名称、旧密码或其他资讯是否正确,这即可达成权限升级,允许未获授权攻击者在Webmin app输入任何指令,进而控制执行Webmin的Unix、Linux服务器。CVE-2019-15107被列为重大(critical)风险。
Webmin维护团队周一指出,这并不是程序编写的瑕疵,而是「程序撰写基础架构有漏洞遭恶意程序码注入」的结果。维护团队也在周一修补漏洞并发布新(1.930)版本Webmin及Usermin,可从SourceForge下载。
—完—
领取专属 10元无门槛券
私享最新 技术干货