Webmin是一个流行的Unix/Linux管理工具。 最近,德州大学的安全研究人员John Gordon发表了研究报告,发现Webmin存在漏洞,攻击者可能利用漏洞来删除服务器数据。
Webmin可以用来进行远程root登录。 在最新的cron模块中的环境变量存在安全漏洞,黑客可以用来通过目录遍历的和空字节注入方式使得黑客能够访问私有目录并且删除数据,
为了能够做到这一点,攻击者只需要拥有受限的用户权限就可以了。Gordon写道:“利用目录遍历和空字节注入, 我们可以删除任意目录下的数据。 如果我们只是一个普通用户, 我们通过在自己的用户环境下添加一个环境变量,可以攻击Webmin的root进程中的文件锁管理。”
这个攻击不能进行远程代码执行, 不过可以通过删除服务器数据,如/etc/passwd造成服务器无法登录。 Gordon呼吁网管尽快更新到Webmin1.690。