发布日期：2002-10-07
更新日期：2002-10-16

受影响系统：

Webmin Webmin 1.0
Webmin Webmin 0.99
Webmin Webmin 0.98
Webmin Webmin 0.97
Webmin Webmin 0.96
Webmin Webmin 0.95
Webmin Webmin 0.94
Webmin Webmin 0.93
Webmin Webmin 0.92
Webmin Webmin 0.91
Webmin Webmin 0.88
Webmin Webmin 0.80
Webmin Webmin 0.79
Webmin Webmin 0.78
Webmin Webmin 0.77
Webmin Webmin 0.76
Webmin Webmin 0.51
Webmin Webmin 0.42
Webmin Webmin 0.41
Webmin Webmin 0.31
Webmin Webmin 0.22
Webmin Webmin 0.21
Webmin Webmin 0.85
    - Caldera OpenLinux 2.3
    - Mandrake Linux Corporate Server 1.0.1
    - Mandrake Linux 7.2
    - Mandrake Linux 7.1

不受影响系统：

Webmin Webmin 1.02

描述：

---

BUGTRAQ  ID: 5936
CVE(CAN) ID: CVE-2002-1947

Webmin是基于WEB接口的Linux/Unix系统管理工具，使用任何支持表单的浏览器可以设置用户帐户、APACHE、DNS、文件共享等。

Webmin使用的SSL密钥机制实现存在问题，远程攻击者可以利用这个漏洞嗅探劫持Webmin会话。

Webmin内置SSL密钥，不过每个安装Webmin版本都使用同样的SSL密钥，可导致攻击者利用这个密钥进行会话劫持，控制系统，也可能导致SSL会话过程的通信被解密。

<*链接：ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SN-02:06.asc
*>

建议：

---

厂商补丁：

FreeBSD
-------
FreeBSD已经为此发布了一个安全公告（FreeBSD-SN-02:06）以及相应补丁:
FreeBSD-SN-02:06：Topic:security issues in ports
链接：ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SN-02:06.[需要添加].asc

FreeBSD发布了升级程序，建立用户升级Ports collection，并重新安装Port。

Webmin
------
供应商在1.020版本中通过使Webmin在安装阶段生成唯一的密钥来修正了这个问题。早期的版本用户建议生成自己的SSL密钥，而不要使用内建的SSL密钥。

Webmin Webmin 0.21:

Webmin Upgrade webmin-1.020.tar.gz
http://prdownloads.sourceforge.net/webadmin/webmin-1.020.tar.gz?download

浏览次数：3277
严重程度：0（网友投票）