Re: Webmin - Ja/Nein?
Niels Jende schrieb:
>
> > seinerzeit wurde Webmin aus Debian entfernt, weil es Sicherheitslücken
> > auf riss. Dem damaligen Debian-Mantainer schien es ein Faß ohne Boden zu
> > werden.
> >
> das Hauptproblem lag damals unter anderem an OpenSSH und daran, dass es
> anfällig für Cross-Site-Request-Forgery aka CSRF/XSRF war! 2006 hat jemand
Wie kann OpenSSH fuer einen Angriffstypus der sich auf websites bezieht
anfaellig sein?
Und wieso wird dann Webmin entfernt wenn das Hauptproblem angeblich u.a.
an OpenSSH lag?
> Zu Fragen bezgl der Sicherheit von Webmin, bekommt man sehr offen und
> ehrliche Infos hier:http://www.webmin.com/security.html
Webmin hat also immer wieder u.a. Luecken der selben Machart (=XSS)
und die werden dann gefixed. Das klingt fuer mich nicht gerade einladend.
Ausserdem verstehe ich unter offen was anderes, wo sind die Details,
warum fehlen die Links zu den CVE's?
http://www.cvedetails.com/vulnerability-list/vendor_id-358/product_id-612/Webmin-Webmin.html
Der letzte Bug aus 5.2011 kann wohl z.B. zu einem gerootetem Rechner
fuehren: http://www.securityfocus.com/archive/1/517658
Unabhaengig davon halte ICH Webmin sowieso fuer ueberfluessig.
Und wech,
Manne
Reply to: