Un chercheur en sécurité a découvert deux failles de sécurité dans le logiciel de gestion à distance des ordinateurs Webmin 1.984 a démontré que des utilisateurs connectés avec des droits restreints pouvaient introduire du code arbitraire dans Webmin et l’exécuter avec les pleins droits de Webmin. Les développeurs de Webmin ont confirmé les failles. Les corrections de bugs sont disponibles dans le code source.

Derrière Webmin se cache une interface basée sur le web qui permet de modifier les configurations de divers services Unix sur une machine. Pour cela, il est possible d’attribuer des droits aux utilisateurs de Webmin, afin qu’ils ne puissent par exemple configurer que certains services, comme le serveur de messagerie uniquement. Les vulnérabilités permettraient à de tels utilisateurs de pousser du code arbitraire sur la machine et de l’y exécuter.

Accès non autorisés

Le premier exploit de preuve de concept montre comment un utilisateur sans droits sur le gestionnaire de fichiers peut télécharger n’importe quel fichier avec celui-ci et modifier les droits sur les fichiers via chmod. Un deuxième exploit montre comment des utilisateurs peuvent retirer l’accès à cron à d’autres utilisateurs – par exemple root – en raison de restrictions d’accès insuffisantes sur un script de tâche cron.

Les mainteneurs de Webmin ont confirmé les failles de sécurité sur la plate-forme de bug bounty huntr et ont accordé une prime d’un montant inconnu au découvreur. Ils n’ont pas encore attribué de numéros CVE. Ils ont toutefois déjà intégré des corrections de bugs dans le dépôt github. Toutefois, les paquets de code source et d’installation sur la page de téléchargement de Webmin sont actuellement encore au niveau de la version vulnérable 1.984.

Les distributions Linux qui incluent Webmin devraient prochainement distribuer des paquets mis à jour. Comme SuSE, Red Hat ou Debian et les distributions basées sur ces dernières comme Ubuntu ne proposent plus Webmin par défaut, les administrateurs doivent attendre les paquets mis à jour par le projet Webmin ou compiler eux-mêmes le code source à partir du dépôt github et installer manuellement ces mises à jour.