[转贴][警惕]Unix,Linux的安全漏洞--usermin,webmin

lucifer1111

来自techworld的报道：有安全研究员在Unix和Linux系统上发现了安全隐患，那就是usermin，这个被广泛使用的管理控制台。它允许攻击者用经过特殊加工过的email来运行恶意代码。

Usermin允许Unix和Linux系统的使用者管理自己的网络帐号，阅读电子邮件。这个工具默认情况下是不包括在Unix,Linux版本中的，但是它常被另一个常用的系统管理工具webmin使用，而webmin包括在诸如Suse,Mandrake,Gentoo等Linux版本中。webmin包括了usermin的所有特性，包括脆弱的webmail功能。

攻击者可以将恶意shell代码放入一封加以伪装的email中，然后通过usermin进入系统，当用户运行webmin或者usermin程序时，代码就会被执行。

另外在webmin或者usermind的安装也存在Bug，因为webmin安装时会强行写入/tmp/.webmin目录，因此一个恶意使用者可以将/tmp/.webmin链接到重要的文件(比如/etc/passwd),这样程序安装时就会将重要文件覆盖，给别人带来损失。

这次的bug幸好在被黑客利用前及时发现，相信不久就会有相应的升级程序。一向以安全著称的linux系统也报出了Bug，看来只有用户本身提高警惕，加强网络防范意识才是最好的安全之道
转自驱动之家


ps：希望我是多此一举，不过想想论坛是linux系统，还是贴出来吧

コナソ

BUG好多哦.........
不过电脑有错误同样是件让人欣慰的事啊
(至少偶那么觉得 呵呵)

残酷天使

米有装这个东西,其实这个东西不太好用,还是命令行直接

vaio

这个东西……似乎一般不可能用到……我从来没用到过usermin，可能是我孤陋寡闻……