Vigil@nce - Webmin : corruption de fichier via Mailbox
janvier 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut créer un lien symbolique sur sa Mailbox,
afin de modifier le fichier pointé, avec les privilèges de
Webmin.
– Produits concernés : Webmin
– Gravité : 1/4
– Date création : 02/01/2015
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Webmin manipule les boîtes aux lettres des
utilisateurs avec des privilèges élevés.
Cependant, lors de l’ouverture du fichier, le programme ne
vérifie pas s’il s’agit d’un lien symbolique existant. Le fichier
pointé par le lien est alors ouvert avec les privilèges du
programme.
Un attaquant local peut donc créer un lien symbolique sur sa
Mailbox, afin de modifier le fichier pointé, avec les privilèges
de Webmin.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Webmin-corruption-de-fichier-via-Mailbox-15898