В Webmin обнаружена неофициально исправленная опасная уязвимость

Устраненная без соответствующих уведомлений брешь позволяет удалять произвольные файлы.
Как следует из сообщения на официальном web-сайте Техасского университета в Остине, исследователям учебного заведения удалось обнаружить опасную уязвимость в Webmin, популярном программном комплексе для удаленного администрирования. Брешь позволяет атакующему удалять произвольные файлы на целевой системе.
Вместе с тем, для успешной эксплуатации уязвимости, располагающейся в обработчике заданий cron (выполняется с правами пользователя root), пользователь должен успешно пройти процесс аутентификации. Удаление происходит в результате некорректной обработки файлов блокировки, содержащих относительный путь к файлу и разделении его нулевым символом в переменной user.
Стоит отметить, что данная уязвимость была устранена разработчиками еще в мае текущего года в версии Webmin 1.690. Однако тогда создатели программного комплекса не сообщили пользователям об исправлении бреши, отметив лишь, что в новой версии были исправлены несколько незначительных проблем и уязвимость межсайтового скриптинга.
Вместо публикации уведомления о выявлении опасной ошибки разработчики сообщили лишь о реализации дополнительной проверки на предмет существования пользователя в системе, что устраняет данную брешь.
Ознакомиться с подробным описанием уязвимости можно здесь . 

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор В Webmin обнаружена неофициально исправленная опасная уязвимость, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Первые сети 6G ожидаются в 2030 году, скорость передачи данных достигнет 1 Тбит/с, а связь будет даже под водой - 12.11.2018: STFW.Ru: Массовая коммерциализация 5G ожидается только в 2019 году с запуском по всему


•  Microsoft запустит поддержку клавиатур и мышей на Xbox One уже 14 ноября, первыми ее смогут опробовать игроки Fortnite - 12.11.2018: STFW.Ru: Как и ожидалось ранее, компания Microsoft объявила официальные сроки запуска


•  Kyiv Boryspil Express — официальное название железнодорожного экспресса в аэропорт «Борисполь» - 12.11.2018: STFW.Ru: Как и предполагалось, сегодня «Укрзалізниця» подвела итоги состоявшегося


•  CloudFlare расширила сферу действия DNS сервиса 1.1.1.1 и на мобильные устройства - 12.11.2018: STFW.Ru: Весной этого года компания CloudFlare запустила собственный потребительский DNS


•  Памятник расизму и супрематизму (В Лос-Анджелесе демонтировали памятник Христофору Колумбу) - 12.11.2018: STFW.Ru: В Лос-Анджелесе демонтировали памятник расизму и белому супрематизму в лице


•  Неизвестные сорвали пломбы на 5 из 6 котельных и начали несанкционированный отбор газа в Кривом Роге Днепропетровской области Украины - 12.11.2018: STFW.Ru: Об этом Українським Новинам сообщила пресс-секретарь "Криворожгаза"