广受欢迎的Unix类服务器Web化管理工具Webmin被发现有远程程序代码执行(RCE)漏洞,可让远程黑客以根权限执行恶意指令。
Webmin是许多Unix操作系统如Linux、FreeBSD、OpenBSD等远程系统管理员爱用的Web app,可用以修改OS设置、创建用户帐号、管理磁盘容量、文件或服务,以及管理远程服务器上的软件如Apache HTTP Server、BIND DNS Server、MySQL、PHP、Exim等等。Webmin官方GitHub网页宣称其全球用户超过百万。
土耳其安全研究人员Özkan Mustafa Akkuş近日发现Webmin上出现远程程序代码执行(remote code execution,RCE)漏洞,并在上周的AppSec Village大会上公布。
这个编号CVE-2019-15107的漏洞影响1.920版本以前的Webmin,它出在password_change.cgi组件中一段程序代码中。许多webmin管理员都会打开“user password change”的功能,它让用户可以将过期旧密码重设为新密码。
研究人员发现,只要在发送的指令参数中包含old参数(Argument),password_change.cgi看到有old就验证通过,不论输入的用户名称、旧密码或其他信息是否正确,这即可完成权限升级,允许未获授权攻击者在Webmin app输入任何指令,进而控制执行Webmin的Unix、Linux服务器。CVE-2019-15107被列为重大(critical)风险。
Webmin维护团队周一举出,这并不是程序编写的瑕疵,而是“程序撰写基础架构有漏洞遭恶意程序代码注入”的结果。维护团队也在周一修补漏洞并发布新(1.930)版本Webmin及Usermin,可从SourceForge下载。