Webmin pam_login.cgis远程跨站脚本执行漏洞

BUGTRAQ ID: 24381 CVE(CAN) ID: CVE-2007-3156 Webmin是一款基于WEB的Unix和Linux操作系统管理界面。 Webmin的pam_login.cgi文件中存在多个跨站脚本漏洞，如果用户受骗访问了恶意网页的话，远程攻击者就可以通过cid、message或question参数向用户浏览器会话注入并执行任意脚本。 Webmin Webmin 1.340 Webmin Usermin 1.270 Webmin ------ 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href="http://prdownloads.sourceforge.net/webadmin/webmin-1.350.tar.gz" target="_blank">http://prdownloads.sourceforge.net/webadmin/webmin-1.350.tar.gz</a> Gentoo ------ Gentoo已经为此发布了一个安全公告（GLSA-200707-05）以及相应补丁: GLSA-200707-05：Webmin, Usermin: Cross-site scripting vulnerabilities 链接：<a href="http://security.gentoo.org/glsa/glsa-200707-05.xml" target="_blank">http://security.gentoo.org/glsa/glsa-200707-05.xml</a> 所有Webmin用户都应升级到最新版本： # emerge --sync # emerge --ask --verbose --oneshot ">=app-admin/webmin-1.350" 所有Usermin用户都应升级到最新的stable版本： # emerge --sync # emerge --ask --verbose --oneshot ">=app-admin/usermin-1.280"