В Webmin обнаружена неофициально исправленная опасная уязвимость

Устраненная без соответствующих уведомлений брешь позволяет удалять произвольные файлы.
Как следует из сообщения на официальном web-сайте Техасского университета в Остине, исследователям учебного заведения удалось обнаружить опасную уязвимость в Webmin, популярном программном комплексе для удаленного администрирования. Брешь позволяет атакующему удалять произвольные файлы на целевой системе.
Вместе с тем, для успешной эксплуатации уязвимости, располагающейся в обработчике заданий cron (выполняется с правами пользователя root), пользователь должен успешно пройти процесс аутентификации. Удаление происходит в результате некорректной обработки файлов блокировки, содержащих относительный путь к файлу и разделении его нулевым символом в переменной user.
Стоит отметить, что данная уязвимость была устранена разработчиками еще в мае текущего года в версии Webmin 1.690. Однако тогда создатели программного комплекса не сообщили пользователям об исправлении бреши, отметив лишь, что в новой версии были исправлены несколько незначительных проблем и уязвимость межсайтового скриптинга.
Вместо публикации уведомления о выявлении опасной ошибки разработчики сообщили лишь о реализации дополнительной проверки на предмет существования пользователя в системе, что устраняет данную брешь.
Ознакомиться с подробным описанием уязвимости можно здесь . 

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор В Webmin обнаружена неофициально исправленная опасная уязвимость, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  ПК месяца (январь 2019) - 23.01.2019: STFW.Ru: Три конфигурации, три ценовые категории, три лучших варианта потратить


•  Ультрабюджетный смартфон Xiaomi Redmi Go с ОС Android 9.0 (Go Edition) сертифицирован в Таиланде - 23.01.2019: STFW.Ru: Базы данных правительственных агентств различных стран, сертифицирующих


•  Украина заняла 53-е место в свежем рейтинге самых инновационных стран мира по версии Bloomberg - 23.01.2019: STFW.Ru: Накануне открытия международного экономического форума в Давосе был


•  Разработчики сайта booking.uz.gov.ua предлагают бесплатно внедрить онлайн-систему продажи билетов на Kyiv Boryspil Express, но «Укрзалізниця» игнорирует предложение - 23.01.2019: STFW.Ru: Компания UNIT во второй раз за последнее время обращается с открытым письмом к


•  Виталий Кличко пообещал открыть автомобильное сообщение через Подольско-Воскресенский мост через полтора-два года. На него уже потратили 5 млрд грн, для завершения надо еще 7 млрд грн - 23.01.2019: STFW.Ru: Мэр Киева Виталий Кличко в очередной раз объявил актуальные сроки


•  В Люксембурге общественный транспорт станет бесплатным с 1 марта 2020 года - 23.01.2019: STFW.Ru: Власти Люксембурга намерены сделать общественный транспорт бесплатным,