| Дата премьеры системы: | 1997/10/05 |
| Дата последнего релиза: | 2019/08/20 |
| Технологии: | ITSM - Системы управления IT-службой |
Webmin — это программный комплекс, позволяющий администрировать операционную систему через веб-интерфейс, в большинстве случаев, позволяя обойтись без использования командной строки и запоминания системных команд и их параметров.
2019: Версия Webmin 1.930
20 августа 2019 года стало известно, что в WEBMIN исправлена критическая уязвимость.
Впервые о проблеме стало известно 10 августа, однако разработчики узнали о ней только спустя неделю.
Разработчики приложения с открытым исходным кодом Webmin, предназначенного для администрирования Unix-подобных систем, выпустили версию Webmin 1.930 и связанную с ней версию Usermin 1.780. Обновление исправляет критическую уязвимость (CVE-2019-15107), позволяющую удаленно выполнять код при определенных настройках конфигурации ПО.
 | Релиз исправляет раскрытую уязвимость CVE-2019-15107. Мы не получали никаких предварительных уведомлений о ней, что весьма непривычно и неэтично со стороны обнаружившего ее исследователя. Однако при данных обстоятельствах нам не остается ничего другого, кроме как поскорее выпустить исправление,
сообщил один из разработчиков Webmin Джо Купер (Joe Cooper)
|  |
Уязвимость позволяет внедрять команды до прохождения аутентификации. Проблема связана с использованием qx// в одном из вызовов функции &unix_crypt (строка password_change.cgi:). Поскольку qx// равнозначен открывающим кавычкам в Perl, все данные в // будут запускаться в оболочке.Поддержка 1С:УПП прекращается. Что делать предприятиям? 
Уязвимость существует только при определенных настройках конфигурации ПО на Perl – если политики истечения срока действия пароля Webmin -> Webmin Configuration -> Authentication -> Password установлены на Prompt users with expired passwords to enter a new one («подсказывать пользователю с истекшим паролем ввести новый»). Эта опция не установлена по умолчанию, но в случае, если пользователь сам ее установил, возможно удаленное выполнение кода.
Проблема затрагивает все версии Webmin, начиная от 1.882 и заканчивая 1.920. Версия Webmin 1.890 уязвима даже при заводских настройках конфигурации.
По словам Купера, патч также исправляет несколько XSS-уязвимостей, о которых исследователи сообщили в должном порядке, за что им было выплачено денежное вознаграждение[1].
Примечания
Подрядчики-лидеры по количеству проектов
Naumen (Наумен консалтинг) (328) Softline (Софтлайн) (97) Okdesk (Облачные Решения) (41) Террасофт (Terrasoft, ТС-Консалтинг) (38) Деснол Софт (35) Другие (678) Naumen (Наумен консалтинг) (14) Okdesk (Облачные Решения) (9) Elma (Элма, Интеллект Лаб, Практика БПМ) (7) БизнесАвтоматика НПЦ (3) Информатика и Сервис (2) Другие (16) Naumen (Наумен консалтинг) (18) Elma (Элма, Интеллект Лаб, Практика БПМ) (12) SimpleOne (Симпл 1) (10) Softline (Софтлайн) (3) КСК Технологии (2) Другие (18)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Naumen (Наумен консалтинг) (7, 353) Microsoft (13, 76) OmniNet (ОмниНет) (4, 55) Террасофт (Terrasoft, ТС-Консалтинг) (4, 47) Okdesk (Облачные Решения) (1, 42) Другие (601, 568) Naumen (Наумен консалтинг) (3, 14) Okdesk (Облачные Решения) (1, 10) Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 7) БизнесАвтоматика НПЦ (1, 3) Информатика и Сервис (1, 2) Другие (9, 9) Naumen (Наумен консалтинг) (4, 18) Elma (Элма, Интеллект Лаб, Практика БПМ) (1, 12) SimpleOne (Симпл 1) (1, 10) РусБИТех-Астра (ГК Астра) (1, 3) Деснол Софт (2, 2) Другие (9, 11) Naumen (Наумен консалтинг) (3, 12) РусБИТех-Астра (ГК Астра) (1, 11) SimpleOne (Симпл 1) (1, 7) Флант (Flant) (1, 4) Деснол Софт (2, 3) Другие (15, 18) РусБИТех-Астра (ГК Астра) (1, 2) Деснол Софт (1, 1) Флант (Flant) (1, 1) 1С Акционерное общество (1, 1) Другие (0, 0)Распределение систем по количеству проектов, не включая партнерские решения
Naumen Service Desk - 284 ITSM365.ru - 52 Okdesk Система учета и регистрации заявок для малых и средних сервисных компаний - 42 OmniTracker - 41 Service Desk Итилиум - 33 Другие 667 Okdesk Система учета и регистрации заявок для малых и средних сервисных компаний - 10 ITSM365.ru - 9 ELMA365 Service - 6 Naumen Service Desk - 3 Visary Help Desk - 3 Другие 15 ELMA365 Service - 12 SimpleOne ITSM (IT Service Management) - 10 ITSM365.ru - 9 Naumen Service Desk - 7 РусБИТех-Астра: ALD Pro - 3 Другие 14 
