Unix管理工具Webmin被曝有远端程序码执行漏洞

广受欢迎的Unix类服务器Web化管理工具Webmin被发现有远端程序码执行（RCE）漏洞，可让远端黑客以根权限执行恶意指令。

Webmin是许多Unix作业系统如Linux、FreeBSD、OpenBSD等远端系统管理员爱用的Web app，可用以修改OS设定、建立用户帐号、管理硬盘容量、档案或服务，以及管理远端服务器上的软件如Apache HTTP Server、BIND DNS Server、MySQL、PHP、Exim等。Webmin官方GitHub网页宣称其全球用户超过百万。

土耳其安全研究人员Özkan Mustafa Akkuş近日发现Webmin上出现远端程序码执行（remote code execution，RCE）漏洞，并在上周的AppSec Village大会上公布。

这个编号CVE-2019-15107的漏洞影响1.920版本以前的Webmin，它出在password_change.cgi元件中一段程序码中。许多webmin管理员都会开启「user password change」的功能，它让使用者可以将过期旧密码重设为新密码。

研究人员发现，只要在传送的指令参数中包含old引数（Argument），password_change.cgi看到有old就验证通过，不论输入的用户名称、旧密码或其他资讯是否正确，这即可达成权限升级，允许未获授权攻击者在Webmin app输入任何指令，进而控制执行Webmin的Unix、Linux服务器。CVE-2019-15107被列为重大（critical）风险。

Webmin维护团队周一指出，这并不是程序编写的瑕疵，而是「程序撰写基础架构有漏洞遭恶意程序码注入」的结果。维护团队也在周一修补漏洞并发布新（1.930）版本Webmin及Usermin，可从SourceForge下载。

—完—