• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

システム管理ツール「Webmin」と「Usermin」にまたもやセキュリティ・ホール

勝村 幸博=ITpro 2006/08/31 ITpro
今回明らかにされたクロスサイト・スクリプティング脆弱性の概要(IPAの情報から引用)
今回明らかにされたクロスサイト・スクリプティング脆弱性の概要(IPAの情報から引用)
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は8月31日,Webベースのシステム管理ツール(Webアプリケーション)の「Webmin」と「Usermin」に複数のセキュリティ・ホールが見つかったことを明らかにした。悪用されると,ユーザーのWebブラウザ上で意図しないスクリプトを実行されたり,Webmin/Userminの設定情報が漏洩したりする恐れがある。

 IPAとJPCERT/CCの情報によれば,WebminとUserminには(1)クロスサイト・スクリプティングのセキュリティ・ホール(脆弱性)と,(2)アクセス制御を回避されるセキュリティ・ホールが見つかったという。

 (1)により,Webmin/Userminが稼働するサーバーのコンテキストで,悪意のあるスクリプトがユーザーのWebブラウザ上で実行される恐れなどがある。(2)により,Webmin/Userminが稼働するサーバーに対して細工が施されたリクエストを送信されると,本来制限しているはずのファイルの実行や閲覧が可能となる。

 影響を受けるのは,Webminのバージョン1.290およびそれ以前,Userminバージョン1.220およびそれ以前。IPAでは,最新バージョンへのアップグレードを対策として挙げているが,Webminのサイトを見る限り,現時点(8月31日正午)での最新バージョンは,影響を受けるとされるWebmin 1.290とUsermin 1.220である。このためWebmin/Userminの管理者は,これらよりも新しいバージョンが公開され次第,アップグレードしたい。

【8月31日追記】今回のセキュリティ・ホールを修正したWebmin 1.297およびUsermin 1.226は,Webminの「Development Versions(http://www.webmin.com/devel.html)」ページで公開されている。また,セキュリティ・ホールの発見者である山崎圭吾氏が所属するラックからは,詳細を記述したセキュリティ情報が公開されている。【以上,8月31日追記】

 なおWebminとUserminには,以前にも複数のセキュリティ・ホールが見つかっている(関連記事1関連記事2関連記事3)。

JVNの情報
IPAの情報

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る