Webmin

Die Schwachstelle betrifft die Web-Administrationsoberfläche Webmin, mit der sich unixartige Server über den Browser verwalten lassen. Der Fehler sitzt im Skript password_change.cgi, das für das Ändern von Benutzerpasswörtern zuständig ist. Konkret wird der über den Parameter „old" übergebene Wert – also das angeblich alte Passwort – nicht ausreichend geprüft, bevor er weiterverarbeitet wird. Dadurch kann ein Angreifer in dieses Feld nicht nur ein Passwort, sondern eigene Systembefehle einschleusen, die der Server anschließend ausführt (Command Injection). Im Ergebnis lässt sich auf dem betroffenen Host beliebiger Code mit den Rechten des Webmin-Dienstes ausführen. Da Webmin typischerweise mit weitreichenden Systemrechten läuft und seine Oberfläche häufig über das Netz erreichbar ist, kann ein erfolgreicher Angriff zur vollständigen Übernahme des verwalteten Servers führen. Betroffen sind Installationen, bei denen die Passwortänderungs-Funktion aktiv ist.