Webmin offers a simple user interface (UI) to manage users and groups, databases, BIND, Apache, Postfix, Sendmail, QMail, backups, firewalls, monitoring and alerts, and much more.
ok, donc un clickodrome pour admin sys... mouaif...
According to the researcher, the security flaw resides in the password reset page and allows a remote, unauthenticated attacker to execute arbitrary commands with root privileges on affected servers just by adding a simple pipe command ("|") in the old password field through POST requests.
Ouh ! Ça pique vu le but de l'appli !
The story started when Turkish researcher Özkan Mustafa Akkuş publicly presented a zero-day remote code execution vulnerability in the Webmin at DefCon on August 10, without giving any advance notice to the affected project maintainers.
Et ça, c'est la cerise sur le gateau !
J'ai vraiment du mal à concevoir l'intérêt qu'une telle appli ne soit pas sérieusement cloisonnée et inaccessible à quiconque en dehors d'un VLAN de sys-admin. Ou alors c'est utilisé par des hébergeurs pour donner des VM clé en main à leurs clients qui ne sont pas forcément sysadmin eux-même ? C'est la seule explication que je vois pour avoir un tel outil ouvert sur le réseau.
