情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は9月20日,WebベースのUNIX用システム管理ツール「Webmin」と「Usermin」に見つかったセキュリティ・ホールを公表した。PAM(Pluggable Authentication Modules)認証を利用している場合には,リモートの攻撃者に管理者権限で任意のコマンドを実行される可能性がある。影響を受けるのは,Webmin 1.220以前およびUsermin 1.150以前。対策は,セキュリティ・ホールを修正した最新版にアップデートすること。
Webminは管理者用の環境設定ツール。ユーザー・アカウントの管理やサーバー・ソフトの設定などをブラウザから行える。Userminはユーザー用の管理ツール。それぞれのユーザーが自分あてのメールを受信したり,メールの転送設定などを行ったりできる。
今回,これらのツールの認証機構にセキュリティ・ホールが見つかった。細工が施されたリクエストを送信されると,認証を回避されてしまう。その結果,管理者権限でWebminやUserminの機能を悪用される可能性がある。
対策は最新版にアップデートすること。「Webmin」のサイトでは,Webmin 1.230とUsermin 1.160が公開されている。
なお今回のセキュリティ・ホールは,「早期警戒パートナーシップ」に基づいて,ラックの山崎圭吾氏からIPAへ報告され,JPCERT/CCが調整を行った(関連記事)。
◎参考資料
◆JVN#40940493 Webmin および Usermin における認証回避の脆弱性
◆「Webmin」および「Usermin」における認証回避の脆弱性
◆Security Alerts
◆Webmin Downloading and Installing
◆Downloading and Installing Usermin