-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2005-20
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 Original released date: 07 Feb 2005
 Last revised: 07 Feb 2005

 Package: webmin

 Summary: Multiple vulnerabilities exist in webmin

 More information:
    Webmin is a web-based administration interface for Unix systems.
    Using Webmin you can configure DNS, Samba, NFS, local/remote filesystems
    and more using your web browser.

    Multiple vulnerabilities exist in Webmin:
    - A script in Usermin allows local users to overwrite arbitrary files
      at install time via a symlink attack on the /tmp/.usermin directory.
    - Webmin allows remote attackers to bypass access control rules and gain
      read access to configuration information for certain modules.
    - The account lockout functionality in webmin does not parse certain
      character strings, which allows remote attackers to conduct a brute
      force attack to guess user IDs and passwords.

 Impact:
    This vulerability may allow attackers to overwrite arbitrary files via
    a symbolic link attack.  The vulnerabilities may allow remote attackers
    to bypass access control rules.

 Affected Products:
    - Turbolinux 8 Server
    - Turbolinux 8 Workstation
    - Turbolinux 7 Server

 Solution:
    Please use the turbopkg (zabom) tool to apply the update. 
 ---------------------------------------------
 # turbopkg
 or
 # zabom update webmin
 ---------------------------------------------


 <Turbolinux 8 Server>

   Source Packages
   size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/8/updates/SRPMS/webmin-1.070-3.src.rpm
      6930841 534de43ae0ad8830bb74896222b2eaf9

   Binary Packages
   size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/8/updates/RPMS/webmin-1.070-3.noarch.rpm
      6035769 157751b22142bf504e3a943a3a60f824

 <Turbolinux 8 Workstation>

   Source Packages
   size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/8/updates/SRPMS/webmin-1.070-3.src.rpm
      6930841 c80b3687b01f8f65b9db46bf10368e53

   Binary Packages
   size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Workstation/8/updates/RPMS/webmin-1.070-3.noarch.rpm
      6034650 dd4e791efcbecc9189f5dd728dee6b08

 <Turbolinux 7 Server>

   Source Packages
   size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/7/updates/SRPMS/webmin-1.070-3.src.rpm
      6930841 fbe7a9612533a0efbeba086ea9ef0609

   Binary Packages
   size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/7/updates/RPMS/webmin-1.070-3.noarch.rpm
      6057465 69c1a46d1a5ddcec6901132b8309bf65

 References:

 CVE
   [CAN-2004-0559]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0559
   [CAN-2004-0582]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0582
   [CAN-2004-0583]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0583

 --------------------------------------------------------------------------
 Revision History
    07 Feb 2005 Initial release
 --------------------------------------------------------------------------

 Copyright(C) 2005 Turbolinux, Inc. All rights reserved. 

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)

iD8DBQFCB0gzK0LzjOqIJMwRArOeAJ0UwJPv/6hFc3a6j0/rqnoOgcIaXwCggueD
ZsxHlJC7jAWU+8nJOA/WcTE=
=TM1v
-----END PGP SIGNATURE-----