Zum Hauptinhalt Zur Navigation Zur Suche

Abo testen Anmelden

Kritische Sicherheitslücke in Webmin

Präparierter Login-Name kann Root-Rechte gewähren. Dyad Security warnt vor einer kritischen Sicherheitslücke in Webmin und Usermin, mit der Angreifer Root-Rechte auf Server erlangen können, die mit der Server-Administrationssoftware ausgestattet sind.

30. November 2005 um 12:12 Uhr / Jens Ihlenfeld

10 Kommentare Auf Google folgen (öffnet im neuen Fenster)

Es reicht ein speziell präparierter Login-Name aus, um die Sicherheitslücke auszunutzen. Damit ließe sich dann Code mit den Rechten des Webmin-Users ausführen, und das ist in aller Regel "root". Da kein Account auf dem System benötigt wird, seien alle Systeme betroffen, auf denen die Webserver-Komponenten "miniserv.pl" laufen.

Es sei durch diese Sicherheitslücke zudem relativ leicht, ein betroffenes System in die Knie zu zwingen, es gebe aber auch einen Exploit, der das Ausführen von Code auf fremden Systemen erlaube.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Fortgeschrittene Python-Techniken in der Anwendung

Workshops und Weiterbildungen: Fortgeschrittene Python-Techniken in der Anwendung

Wer krank zur Arbeit geht, zahlt wochenlang dafür

Karriere Ratgeber: Wer krank zur Arbeit geht, zahlt wochenlang dafür

KI-Bilderkennung in Python - Deep Learning mit Keras: virtueller Drei-Tage-Workshop

Seminar: KI-Bilderkennung in Python - Deep Learning mit Keras: virtueller Drei-Tage-Workshop

Microsoft Word: vom Einsteiger zum Profi (E-Learning)

E-Learning: Microsoft Word: vom Einsteiger zum Profi (E-Learning)

Betroffen ist Webmin in Versionen unter 1.250 und Usermin unter der Version 1.180. Unter webmin.com(öffnet im neuen Fenster) stehen aber die aktualisierten Versionen zum Download bereit. Details zur Sicherheitslücke sind unter dyadsecurity.com(öffnet im neuen Fenster) zu finden.

Zur Startseite 10 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

lade Kommentare...

Schnäppchen, Rabatte und Top-Angebote: Die besten Deals des Tages

Daily Deals • Zotac RTX 5080 1.349€ • Samsung 9100 Pro 1TB 162€ • Corsair PC-Komponenten und Gaming-Zubehör bis -51% • Gigabyte OLED 27" QHD 240Hz 512€ • Gigabyte RTX 5080 1.399€ • Verbatim SSD 1TB (PS5-komp.) 60,90€ [Werbung]

Schematische Darstellung der Stimulierung von Wasserstoff unter der Erde (Bild: Esys) (Esys)

Stimulierter Wasserstoff: Wasserstoff gezielt in der Erde entstehen lassen

Wasserstoff lässt sich fördern wie Erdgas, aber niemand weiß, wo und wie viel. Gleichzeitig gibt es Ideen, H2 unterirdisch entstehen zu lassen.

(v.l.n.r.:) Michael Martin (1&1 Mobilfunk), Tobias Mielke (TÜV Nord Group) und Ingobert Veith, Vice President bei Huawei Technologies Deutschland (Bild: Achim Sawall/Golem) (Achim Sawall/Golem)

Open RAN: 1&1 Mobilfunk-Chef für Wettbewerb bei Ausrüstern

Anga Com 1&1 setzt bei seinem Mobilfunknetz nur auf Open RAN mit mehreren Ausrüstern. Wettbewerb sei entscheidend, war man sich mit Huawei einig.

Knipex produziert seine Zangen bis heute in Wuppertal. (Bild: Erzeugt mit ChatGPT; Amazon, Knipex; Montage: Golem.de) (Erzeugt mit ChatGPT; Amazon, Knipex; Montage: Golem.de)

Deal Knipex-Mini-Zangen-Set befristet im Amazon-Angebot

Die Knipex Cobra und der Zangenschlüssel, beide in der kompakten XS-Version, sind bei Amazon befristet im Angebot. Dazu gibt es eine Tasche.

Große Dachflächen auf Lkw und Anhängern sind besonders gut zur Stromproduktion geeignet. (Bild: IM Efficiency) (IM Efficiency)

Elektromobilität: Solarzellen an Fahrzeugen senken Ladebedarf entscheidend

Abhängig von Standort und Nutzung können bis zu 80 Prozent der Energie direkt erzeugt werden. Besonders Lkw können profitieren.

Auf der Google I/O hat Google die neuen Konditionen seiner KI-Abos mitgeteilt. (Bild: Benjamin Fanjoy/Getty Images) (Benjamin Fanjoy/Getty Images)

Google AI: Große Preissenkung für Googles KI-Abo mit Youtube Premium

Google startet eine vierte Variante seines KI-Abos und bereits im Pro-Abo gehört ein Youtube-Premium-Abo ohne Aufpreis dazu.

Mercedes-AMG GT 4-Türer (Bild: Mercedes-AMG) (Mercedes-AMG)

Supersportwagen: Der neue Mercedes-AMG GT 4-Türer kommt mit Axial-Fluss-Motoren

Mercedes-AMG hat das neue GT-4-Türer-Coupé in den zwei Varianten GT 63 und GT 55 vorgestellt.

Senior DevOps Engineer - Kubernetes@BareMetal (m/w/d) Mittwald CM Service GmbH & Co. KG, Espelkamp (öffnet im neuen Fenster)

Mitarbeiter (m/w/d) IT-Support NORDAKADEMIE Hochschule der Wirtschaft, Elmshorn, Home Office (öffnet im neuen Fenster)

Deployment / Windows Client Engineer (w/m/d) Bundesamt für Wirtschaft und Ausfuhrkontrolle, Eschborn (öffnet im neuen Fenster)

Cyber Defence Center Lead (m/w/d) Heidelberger Druckmaschinen AG, Wiesloch (öffnet im neuen Fenster)