Unix管理工具Webmin爆有遠程程序代碼執行漏洞

廣受歡迎的Unix類伺服器Web化管理工具Webmin被發現有遠程程序代碼執行（RCE）漏洞，可讓遠程黑客以根許可權執行惡意指令。

Webmin是許多Unix操作系統如Linux、FreeBSD、OpenBSD等遠程系統管理員愛用的Web app，可用以修改OS設置、創建用戶帳號、管理磁碟容量、文件或服務，以及管理遠程伺服器上的軟體如Apache HTTP Server、BIND DNS Server、MySQL、PHP、Exim等等。Webmin官方GitHub網頁宣稱其全球用戶超過百萬。

土耳其安全研究人員?zkan Mustafa Akku?近日發現Webmin上出現遠程程序代碼執行（remote code execution，RCE）漏洞，並在上周的AppSec Village大會上公布。

這個編號CVE-2019-15107的漏洞影響1.920版本以前的Webmin，它出在password_change.cgi組件中一段程序代碼中。許多webmin管理員都會打開「user password change」的功能，它讓用戶可以將過期舊密碼重設為新密碼。

研究人員發現，只要在發送的指令參數中包含old參數（Argument），password_change.cgi看到有old就驗證通過，不論輸入的用戶名稱、舊密碼或其他信息是否正確，這即可完成許可權升級，允許未獲授權攻擊者在Webmin app輸入任何指令，進而控制執行Webmin的Unix、Linux伺服器。CVE-2019-15107被列為重大（critical）風險。

Webmin維護團隊周一舉出，這並不是程序編寫的瑕疵，而是「程序撰寫基礎架構有漏洞遭惡意程序代碼注入」的結果。維護團隊也在周一修補漏洞並發布新（1.930）版本Webmin及Usermin，可從SourceForge下載。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！