发布时间:2019-08-21 11:36:35,来源:中国信息通信研究院
Webmin1.92之前的版本存在远程命令执行漏洞,CVE编号: CVE-2019-15107。当用户开启Webmin密码重置功能后,攻击者利用该漏洞可在系统中执行任意命令,进而获取系统权限。
Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。目前Webmin支持绝大多数的Unix系统,这些系统除了各种版本的linux以外还包括:AIX、HPUX、Solaris、Unixware、Irix和FreeBSD等。
在2019年7月26日的时候 @luizfschrickte 就在 webmin 官方github 仓库 #947 反馈了这个问题。@DEFCON AppSec Village link 也在 2019 年08月10日的时候提到该问题,因为问题出现在 password_change.cgi,cgi文件基本就是可以理解为是一个可以用于网络请求的 sh/bash/或任意本地可执行程序解释的脚本文件,此处的是 #!/usr/local/bin/perl。
此处逻辑为获得传入的用户名是否存在,虽然可以看到赋值 $wuser = undef,但实际是 {} 即可通过下面判断。
这个漏洞最离奇的地方来了,上面这个文件在 2014 年以前均是这样的。而在deb包中其中关键的一行。
$in{'old'} 被直接带入了 pass_error。
这就直接导致了命令执行。
Webmin <=1.920
目前,Webmin官方已发布升级补丁,建议用户尽快升级,官方补丁链接如下:
http://www.webmin.com/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15107
http://www.webmin.com/