セキュリティ組織の米SANS Instituteは現地時間10月4日,システム管理ツール「Webmin」の危険なセキュリティ・ホールを改めて警告した。修正バージョンは2006年6月に公開されているものの,古いバージョンを使い続けている企業/組織が少なくないという。
Webminには複数のセキュリティ・ホールが見つかっている。2006年6月には,Webminの認証機構を回避されて任意のファイルにアクセスされる「ディレクトリ・トラバーサル」のセキュリティ・ホールが報告された。このセキュリティ・ホールを悪用されると,「Webminが稼働するマシンのパスワード・ファイルを盗まれて,攻撃者になりすましを許す」恐れなどがあるという。
このセキュリティ・ホールを修正した「Webmin 1.290」は同じく2006年6月にリリースされている。しかしながらSANS Instituteによれば,古いバージョンのWebminを使い続けている企業/組織が少なくないとして注意を呼びかけた。例えば,ある大手のホスティング・プロバイダでも,Webmin 1.290よりも古いバージョンを使っていることが確認されているという。
Webmin 1.290より古いバージョンに存在するセキュリティ・ホールについては,詳細や攻撃手法が公表されている。このため,攻撃することはそれほど難しくはないと考えられる。Webminの管理者は早急にバージョンを確認し,Webmin 1.290以降にバージョンアップしたい。
・米SANS Instituteの情報
・WebminのSecurity Alerts
