複数の脆弱性が、ウェブベースの管理ツールキット webmin で確認されました。 Common Vulnerabilities and Exposures プロジェクトでは以下の脆弱性を特定しています。
miniserv.pl にフォーマット文字列脆弱性があり、 攻撃者がアプリケーションをクラッシュさせたり、 システムリソースを使い果させることで、サービス不能 (DoS) 攻撃を引き起こし、任意のコードを実行される可能性があります。
miniserv.pl に入力に対する不十分なサニタイズ処理があり、 攻撃者が miniserv http サーバに特殊な細工をした URL パスを送信することによって、webmin ホスト上の任意のファイルを読む出すことが可能です。
miniserv.pl に URL 中のヌル文字の不適切な処理があり、 攻撃者がクロスサイトスクリプティング攻撃を導いて、CGI プログラムソースコードを読み込んだり、ローカルディレクトリをリストアップしたり、 任意のコードの実行を引き起こしたりする可能性があります。
安定版では、alpha、amd64、arm、hppa、i386、ia64、m68k、mips、mipsel、powerpc、s390、sparc の各アーキテクチャ向けの更新が利用できます。
安定版ディストリビューション (stable、コードネーム sarge) では、これらの問題はバージョン 1.180-3sarge1 で修正されています。
Webmin は、不安定版 (sid) あるいはテスト版 (etch) には含まれていないので、これらの問題は存在しません。
webmin (1.180-3sarge1) パッケージのアップグレードをお勧めします。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。