漏洞信息详情

Usermin save.cgi重置root用户Shell拒绝服务漏洞

  • CNNVD编号:CNNVD-200609-336
  • 危害等级: 低危
  • CVE编号: CVE-2006-4246
  • 漏洞类型: 设计错误
  • 发布时间: 2006-06-21
  • 威胁类型: 本地
  • 更新时间: 2006-09-28
  • 厂        商: Usermin
  • 漏洞来源: Hendrik Weimer hen...

漏洞简介

Usermin是澳大利亚软件开发者Jamie Cameron和Webmin社区共同开发的一个用于操作用户级别的任务的Web管理接口,它允许Unix系统中非root用户进行接收邮件、执行SSH和邮件转发配置等任务。

Usermin的save.cgi脚本在处理用户输入参数生成执行命令时存在漏洞,远程攻击者可能利用此漏洞重置root用户的登录Shell,导致root用户无法正常登录。

远程攻击者可以通过调用\"Change User Details\"菜单并将用户shell参数设置为空值,save.cgi会将对应的执行命令生成为\"chsh -s foo\",此命令的执行结果是更改root用户的登录shell而不是登录用户的shell。

漏洞公告

目前厂商还没有提供补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.webmin.com/index6.html

参考网址

来源: www.webmin.com

链接:http://www.webmin.com/uchanges.html

来源: BID

名称: 18574

链接:http://www.securityfocus.com/bid/18574

来源: DEBIAN

名称: DSA-1177

链接:http://www.debian.org/security/2006/dsa-1177

来源: sourceforge.net

链接:http://sourceforge.net/tracker/index.php?func=detail&aid=1509145&group_id=17457&atid=485894

来源: SECUNIA

名称: 21981

链接:http://secunia.com/advisories/21981

来源: XF

名称: usermin-shell-dos(29010)

链接:http://xforce.iss.net/xforce/xfdb/29010

来源: MISC

链接:http://www.osreviews.net/reviews/admin/usermin

来源: VUPEN

名称: ADV-2006-3668

链接:http://www.frsirt.com/english/advisories/2006/3668

来源: SECUNIA

名称: 21968

链接:http://secunia.com/advisories/21968

补丁

    暂无

漏洞信息快速查询

相关漏洞

更多