当前位置:首页 > 漏洞预警 > 正文

Web系统管理工具Webmin 远程命令执行漏洞(CVE-2019-15107)预警

发布时间:2019-08-21 11:36:35,来源:中国信息通信研究院

      一、基本情况

Webmin1.92之前的版本存在远程命令执行漏洞,CVE编号: CVE-2019-15107。当用户开启Webmin密码重置功能后,攻击者利用该漏洞可在系统中执行任意命令,进而获取系统权限。

      二、漏洞描述

Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。目前Webmin支持绝大多数的Unix系统,这些系统除了各种版本的linux以外还包括:AIX、HPUX、Solaris、Unixware、Irix和FreeBSD等。

在2019年7月26日的时候 @luizfschrickte 就在 webmin 官方github 仓库 #947 反馈了这个问题。@DEFCON AppSec Village link 也在 2019 年08月10日的时候提到该问题,因为问题出现在 password_change.cgi,cgi文件基本就是可以理解为是一个可以用于网络请求的 sh/bash/或任意本地可执行程序解释的脚本文件,此处的是 #!/usr/local/bin/perl。

1.png

此处逻辑为获得传入的用户名是否存在,虽然可以看到赋值 $wuser = undef,但实际是 {} 即可通过下面判断。

2.png

这个漏洞最离奇的地方来了,上面这个文件在 2014 年以前均是这样的。而在deb包中其中关键的一行。

3.png

$in{'old'} 被直接带入了 pass_error。

4.png

这就直接导致了命令执行。

      三、影响范围

Webmin <=1.920

      四、处置建议

目前,Webmin官方已发布升级补丁,建议用户尽快升级,官方补丁链接如下:

http://www.webmin.com/

      五、参考链接

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15107

http://www.webmin.com/