検出

プラグイン

Nessus ファミリー

WAS ファミリー

プラグインファミリーについて

インジケーター

攻撃インジケーター

露出インジケーター

Webmin「miniserv.pl」「username」パラメーターの書式文字列

high Nessus プラグイン ID 20343

Language:

概要

リモートWebサーバーは、書式文字列の脆弱性の影響を受けます。

説明

リモートホストにインストールされているWebminのバージョンに、失敗した認証試行のロギング時の書式文字列の欠陥があります。攻撃者は、「session_login.cgi」の「username」パラメーターに特別に細工された値を使用して、この欠陥を悪用し、影響を受けるサーバーをクラッシュさせたり、Perlスクリプト「miniserv.pl」が実行されているユーザーIDの権限で、影響を受けるホストで任意のコードを実行したりする可能性があります。デフォルトはrootユーザーです。

ソリューション

Webminバージョン1.250以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?ba687296

https://www.securityfocus.com/archive/1/archive/1/418093/100/0/threaded

http://www.webmin.com/security.html

プラグインの詳細

深刻度: High

ID: 20343

ファイル名: webmin_miniserv_username_format_string.nasl

バージョン: 1.27

タイプ: remote

ファミリー: CGI abuses

公開日: 2005/12/26

更新日: 2021/1/19

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.9

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 6.2

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: cpe:/a:webmin:webmin

必要な KB アイテム: www/webmin

エクスプロイトの容易さ: No exploit is required

Nessus によりエクスプロイト済み: true

パッチ公開日: 2005/11/30

脆弱性公開日: 2005/11/29

エクスプロイト可能

CANVAS (CANVAS)

Core Impact

参照情報

CVE: CVE-2005-3912

BID: 15629