| Дата премьеры системы: | 1997/10/05 |
| Дата последнего релиза: | 2019/08/20 |
| Технологии: | ITSM - Системы управления IT-службой |
Webmin — это программный комплекс, позволяющий администрировать операционную систему через веб-интерфейс, в большинстве случаев, позволяя обойтись без использования командной строки и запоминания системных команд и их параметров.
2019: Версия Webmin 1.930
20 августа 2019 года стало известно, что в WEBMIN исправлена критическая уязвимость.
Впервые о проблеме стало известно 10 августа, однако разработчики узнали о ней только спустя неделю.
Разработчики приложения с открытым исходным кодом Webmin, предназначенного для администрирования Unix-подобных систем, выпустили версию Webmin 1.930 и связанную с ней версию Usermin 1.780. Обновление исправляет критическую уязвимость (CVE-2019-15107), позволяющую удаленно выполнять код при определенных настройках конфигурации ПО.
 | Релиз исправляет раскрытую уязвимость CVE-2019-15107. Мы не получали никаких предварительных уведомлений о ней, что весьма непривычно и неэтично со стороны обнаружившего ее исследователя. Однако при данных обстоятельствах нам не остается ничего другого, кроме как поскорее выпустить исправление,
сообщил один из разработчиков Webmin Джо Купер (Joe Cooper)
|  |
Уязвимость позволяет внедрять команды до прохождения аутентификации. Проблема связана с использованием qx// в одном из вызовов функции &unix_crypt (строка password_change.cgi:). Поскольку qx// равнозначен открывающим кавычкам в Perl, все данные в // будут запускаться в оболочке.
Уязвимость существует только при определенных настройках конфигурации ПО на Perl – если политики истечения срока действия пароля Webmin -> Webmin Configuration -> Authentication -> Password установлены на Prompt users with expired passwords to enter a new one («подсказывать пользователю с истекшим паролем ввести новый»). Эта опция не установлена по умолчанию, но в случае, если пользователь сам ее установил, возможно удаленное выполнение кода.
Проблема затрагивает все версии Webmin, начиная от 1.882 и заканчивая 1.920. Версия Webmin 1.890 уязвима даже при заводских настройках конфигурации.
По словам Купера, патч также исправляет несколько XSS-уязвимостей, о которых исследователи сообщили в должном порядке, за что им было выплачено денежное вознаграждение[1].
Примечания
Подрядчики-лидеры по количеству проектов
Naumen (Наумен консалтинг) (332) Softline (Софтлайн) (98) Okdesk (Облачные Решения) (42) Террасофт (Terrasoft, ТС-Консалтинг) (38) Деснол Софт (35) Другие (683) Naumen (Наумен консалтинг) (14) Okdesk (Облачные Решения) (9) Elma (Элма, Интеллект Лаб, Практика БПМ) (7) БизнесАвтоматика НПЦ (3) Helpdesk Systems (2) Другие (16) Naumen (Наумен консалтинг) (18) Elma (Элма, Интеллект Лаб, Практика БПМ) (12) SimpleOne (Симпл 1) (10) Softline (Софтлайн) (3) Carbon Soft (Карбон Софт) EvaTeam (2) Другие (19)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Naumen (Наумен консалтинг) (7, 357) Microsoft (13, 76) OmniNet (ОмниНет) (4, 55) Террасофт (Terrasoft, ТС-Консалтинг) (4, 47) Okdesk (Облачные Решения) (1, 43) Другие (605, 573) Naumen (Наумен консалтинг) (3, 14) Okdesk (Облачные Решения) (1, 10) Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 7) БизнесАвтоматика НПЦ (1, 3) Информатика и Сервис (1, 2) Другие (9, 9) Naumen (Наумен консалтинг) (4, 18) Elma (Элма, Интеллект Лаб, Практика БПМ) (1, 12) SimpleOne (Симпл 1) (1, 10) РусБИТех-Астра (ГК Астра) (1, 3) Деснол Софт (2, 2) Другие (10, 12) Naumen (Наумен консалтинг) (3, 12) РусБИТех-Астра (ГК Астра) (1, 12) SimpleOne (Симпл 1) (1, 8) Флант (Flant) (1, 4) Деснол Софт (2, 3) Другие (15, 18) Naumen (Наумен консалтинг) (1, 4) РусБИТех-Астра (ГК Астра) (1, 3) Онланта Код ИТ (1, 2) Флант (Flant) (1, 1) 1С Акционерное общество (1, 1) Другие (1, 1)Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
Naumen Service Management Platform (NSMP) - 298 (9, 289) Microsoft System Center 2012 - 58 (18, 40) OmniTracker - 55 (41, 14) Naumen Service Desk - 52 (0, 52) Okdesk Система учета и регистрации заявок для малых и средних сервисных компаний - 43 (43, 0) Другие 180 Okdesk Система учета и регистрации заявок для малых и средних сервисных компаний - 10 (10, 0) Naumen Service Desk - 9 (0, 9) ELMA365 Service - 6 (6, 0) Naumen Service Management Platform (NSMP) - 6 (3, 3) Visary Help Desk - 3 (3, 0) Другие -1 ELMA365 Service - 12 (12, 0) SimpleOne ITSM (IT Service Management) - 10 (10, 0) Naumen Service Desk - 9 (0, 9) Naumen Service Management Platform (NSMP) - 8 (1, 7) РусБИТех-Астра: ALD Pro - 3 (3, 0) Другие -3 РусБИТех-Астра: ALD Pro - 12 (12, 0) SimpleOne ITSM (IT Service Management) - 8 (8, 0) Naumen Service Management Platform (NSMP) - 7 (0, 7) Naumen Service Desk - 4 (0, 4) Flant Deckhouse Kubernetes Platform (DKP) - 4 (4, 0) Другие 9 Naumen Service Management Platform (NSMP) - 4 (0, 4) РусБИТех-Астра: ALD Pro - 3 (3, 0) Onplatform Инфраструктурная платформа - 2 (2, 0) Flant Deckhouse Kubernetes Platform (DKP) - 1 (1, 0) Другие -4 
