Unix/Linux管理工具Webmin发现漏洞

Unix/Linux管理工具Webmin发现漏洞

黑客学院访客2021-10-12 5:42:007385A+A-

  Webmin是一个流行的Unix/Linux管理工具。 最近,德州大学的安全研究人员John Gordon发表了研究报告,发现Webmin存在漏洞,攻击者可能利用漏洞来删除服务器数据。

  Webmin可以用来进行远程root登录。 在最新的cron模块中的环境变量存在安全漏洞,黑客可以用来通过目录遍历的和空字节注入方式使得黑客能够访问私有目录并且删除数据,

  为了能够做到这一点,攻击者只需要拥有受限的用户权限就可以了。Gordon写道:“利用目录遍历和空字节注入, 我们可以删除任意目录下的数据。 如果我们只是一个普通用户, 我们通过在自己的用户环境下添加一个环境变量,可以攻击Webmin的root进程中的文件锁管理。”

  这个攻击不能进行远程代码执行, 不过可以通过删除服务器数据,如/etc/passwd造成服务器无法登录。 Gordon呼吁网管尽快更新到Webmin1.690。

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 5条评论
  • 辞眸揽月2022-05-30 07:07:14
  • 节注入, 我们可以删除任意目录下的数据。 如果我们只是一个普通用户, 我们通过在自己的用户环境下添加一个环境变量,可以攻击Webmin的root进程中的文件锁管理。”  这个攻击不能进行远程代码执行, 不过可以通过删除服务器数据,如
  • 辞眸云柯2022-05-30 05:51:42
  • 中的文件锁管理。”  这个攻击不能进行远程代码执行, 不过可以通过删除服务器数据,如/etc/passwd造成服务器无法登录。 Gordon呼吁网管尽快更新到Webmin1.690。 
  • 竹祭远镇2022-05-30 05:39:12
  • ordon写道:“利用目录遍历和空字节注入, 我们可以删除任意目录下的数据。 如果我们只是一个普通用户, 我们通过在自己的用户环境下添加一个环境变量,可以攻击Webmin的root进程中的文件锁管理。”  这个攻击
  • 语酌晴枙2022-05-29 22:55:24
  • 限的用户权限就可以了。Gordon写道:“利用目录遍历和空字节注入, 我们可以删除任意目录下的数据。 如果我们只是一个普通用户, 我们通过在自己的用户环境下添加一个环境变量,可以攻击Webmin的roo
  • 蓝殇亡鸦2022-05-30 07:55:20
  • 添加一个环境变量,可以攻击Webmin的root进程中的文件锁管理。”  这个攻击不能进行远程代码执行, 不过可以通过删除服务器数据,如/etc/passwd造成服务器无法登录。 Gordon呼吁网管尽快更新到Webmin1.690。 

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理