{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<TT>webmin</TT> version 0.92-1.","content":"## Description\n\nwebmin est une interface web qui permet l'administration d'un syst\u00e8me en\nlocal ou \u00e0 distance depuis n'importe quel navigateur supportant les\nformulaires et les tableaux.\n\nDes permissions accord\u00e9es par d\u00e9faut sur le r\u00e9pertoire /var/webmin/ lors\nde l'installation de webmin permettent \u00e0 un utilisateur mal intentionn\u00e9\nde r\u00e9cup\u00e9rer l'identifiant (sid) du super utilisateur (root) dans le\nfichier journal webmin.log. Cette information peut ensuite \u00eatre\nr\u00e9utilis\u00e9e pour se connecter en tant que super utilisateur.\n\nCette vuln\u00e9rabilit\u00e9 est exploitable en local.\n\n## Contournement provisoire\n\nSupprimer les permissions de lecture et d'\u00e9criture du r\u00e9pertoire\n/var/webmin/ pour les utilisateurs autres que le super utilisateur.\n\n## Solution\n\nMettre \u00e0 jour la derni\u00e8re version de webmin.\n","cves":[],"links":[{"title":"Site officiel de webmin  /","url":"http://www.webmin.com"}],"reference":"CERTA-2002-AVI-061","revisions":[{"description":"version initiale.","revision_date":"2002-03-25T00:00:00.000000"}],"risks":[{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"Un utilisateur mal intentionn\u00e9 peut, en utilisant des informations\npr\u00e9sentes dans un fichier journal, se connecter \u00e0 la machine avec les\nprivil\u00e8ges du super utilisateur (root).\n","title":"Vuln\u00e9rabilit\u00e9 sur webmin","vendor_advisories":[{"published_at":null,"title":"Liste de diffusion Bugtraq","url":null}]}