漏洞信息详情
Webmin使用静态SSL密钥漏洞
- CNNVD编号:CNNVD-200212-407
- 危害等级: 中危
- CVE编号: CVE-2002-1947
- 漏洞类型: 设计错误
- 发布时间: 2002-10-07
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: webmin
- 漏洞来源:
漏洞简介
Webmin是基于WEB接口的Linux/Unix系统管理工具,使用任何支持表单的浏览器可以设置用户帐户、APACHE、DNS、文件共享等。 Webmin使用的SSL密钥机制实现存在问题,远程攻击者可以利用这个漏洞嗅探劫持Webmin会话。 Webmin内置SSL密钥,不过每个安装Webmin版本都使用同样的SSL密钥,可导致攻击者利用这个密钥进行会话劫持,控制系统,也可能导致SSL会话过程的通信被解密。 <*链接:ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SN-02:06.asc *>
漏洞公告
厂商补丁: FreeBSD ------- FreeBSD已经为此发布了一个安全公告(FreeBSD-SN-02:06)以及相应补丁:
FreeBSD-SN-02:06:Topic:security issues in ports
链接:ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SN-02:06.[需要添加].asc
FreeBSD发布了升级程序,建立用户升级Ports collection,并重新安装Port。 Webmin ------ 供应商在1.020版本中通过使Webmin在安装阶段生成唯一的密钥来修正了这个问题。早期的版本用户建议生成自己的SSL密钥,而不要使用内建的SSL密钥。
Webmin Webmin 0.21:
Webmin Upgrade webmin-1.020.tar.gz
http://prdownloads.sourceforge.net/webadmin/webmin-1.020.tar.gz?download
参考网址
来源: BID 名称: 5936 链接:http://www.securityfocus.com/bid/5936 来源: XF 名称: webmin-identical-ssl-keys(10381) 链接:http://www.iss.net/security_center/static/10381.php 来源: www.webmin.com 链接:http://www.webmin.com/changes.HTML 来源: FREEBSD 名称: FreeBSD-SA-02:06 链接:ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SN-02%3A06.asc 来源:NSFOCUS 名称:3657 链接:http://www.nsfocus.net/vulndb/3657
受影响实体
- Webmin Webmin:0.21
- Webmin Webmin:0.22
- Webmin Webmin:0.31
- Webmin Webmin:0.41
- Webmin Webmin:0.42
补丁
暂无
评论