Webminのセキュリティ・ホールの概要(IPAの資料から引用)
[画像のクリックで拡大表示]
独立行政法人 情報処理推進機構(IPA)セキュリティセンターとJPCERT/CCは2006年6月23日,オープンソースのシステム管理ツール「Webmin」のセキュリティ・ホールを公開した。Windows上で使用した場合,サーバー内の情報が漏洩する恐れがある。バージョン1.270およびそれ以前のバージョンが影響を受ける。対策は,最新版にバージョン・アップすること。
Webminは,Webブラウザからシステムを管理できるオープンソースのシステム管理ツール。ハードウエアやネットワークの設定,ユーザー・アカウント管理などの機能を持つ。Perl5で記述されている。
今回公開されたセキュリティ・ホールは,Windows環境では「ディレクトリ・トラバーサル」と呼ぶ上位のディレクトリを指定するアクセス方法によって,認証を回避されてしまう場合があるというもの。その結果,サーバー内の情報が漏洩する恐れがある。
対策は最新版であるバージョン1.280にバージョン・アップすること。Webminの公式サイトなどから入手できる。
このセキュリティ・ホールはラックの山崎圭吾氏が発見,IPAに報告し,JPCERT/CCがベンダーとの調整を行った。
◎関連資料
◆JVN#67974490 Webmin におけるディレクトリトラバーサルの脆弱性(JVN)
◆JVN#67974490:「Webmin」におけるディレクトリトラバーサルの脆弱性(IPA)
◆Security Alerts(Webmin公式サイト)
