情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は8月31日,Webベースのシステム管理ツール(Webアプリケーション)の「Webmin」と「Usermin」に複数のセキュリティ・ホールが見つかったことを明らかにした。悪用されると,ユーザーのWebブラウザ上で意図しないスクリプトを実行されたり,Webmin/Userminの設定情報が漏洩したりする恐れがある。
IPAとJPCERT/CCの情報によれば,WebminとUserminには(1)クロスサイト・スクリプティングのセキュリティ・ホール(脆弱性)と,(2)アクセス制御を回避されるセキュリティ・ホールが見つかったという。
(1)により,Webmin/Userminが稼働するサーバーのコンテキストで,悪意のあるスクリプトがユーザーのWebブラウザ上で実行される恐れなどがある。(2)により,Webmin/Userminが稼働するサーバーに対して細工が施されたリクエストを送信されると,本来制限しているはずのファイルの実行や閲覧が可能となる。
影響を受けるのは,Webminのバージョン1.290およびそれ以前,Userminバージョン1.220およびそれ以前。IPAでは,最新バージョンへのアップグレードを対策として挙げているが,Webminのサイトを見る限り,現時点(8月31日正午)での最新バージョンは,影響を受けるとされるWebmin 1.290とUsermin 1.220である。このためWebmin/Userminの管理者は,これらよりも新しいバージョンが公開され次第,アップグレードしたい。
【8月31日追記】今回のセキュリティ・ホールを修正したWebmin 1.297およびUsermin 1.226は,Webminの「Development Versions(http://www.webmin.com/devel.html)」ページで公開されている。また,セキュリティ・ホールの発見者である山崎圭吾氏が所属するラックからは,詳細を記述したセキュリティ情報が公開されている。【以上,8月31日追記】
なおWebminとUserminには,以前にも複数のセキュリティ・ホールが見つかっている(関連記事1,関連記事2,関連記事3)。