Die Security-Experten von Dyad Security warnen vor einer Format-String-Schwachstelle im "miniserv.pl-Server", einer Komponente der Unix-Konfigurations-Tools Webmin und Usermin. Ausnutzen lasse sich die in der Syslog-Funktion befindliche Sicherheitslücke allein durch die Angabe eines präparierten Benutzernamens beim Anmelden. Dem Advisory zufolge ermöglicht das Ausführen von Schadcode in einer Standardkonfiguration einen Root-Zugriff. Hierzu sei kein gültiger Login, sondern lediglich Zugang zu dem miniserv.pl-Port (default 10000) notwendig. Betroffen sind Webmin vor Version 1.259 und Usermin vor Version 1.180. Anwender der beiden Utilities sollten ihr System aktualisieren.

Bislang hatten Experten diese Art des Angriffs bei in der Programmiersprache "Perl" geschriebenen Anwendungen nicht für möglich gehalten. (kf)