米Dyad Securityが,WebベースのUNIX用システム管理ツール「Webmin」にぜい弱性が存在し,外部からシステムを操作される恐れがあると米国時間11月29日に警告を発した。同ツール内のWebサーバー・コンポーネント「miniserv.pl」の全バージョンに問題があるという。
miniserv.plはWebminのフロント・エンド・コンポーネントで,Perlで記述されたプログラム。このぜい弱性は文字列処理に関係する。ログイン処理時にフォーマット文字列を含むユーザー名を入力することで悪用できてしまう。Dyad Security社によると,悪用されたプロセスは管理者権限で動く危険性があるという。
ぜい弱性が見つかったのは2005年9月23日で,既にWebminのWebサイトでは修正版が入手できる。またDyad Security社は,Webminの各バージョンに対応した修正パッチ(1.220用,1.230用,1.240用)を提供している。
◎関連記事
■システム管理ツール「Webmin」と「Usermin」にセキュリティ・ホール
■Javaに危険度「高」のぜい弱性,アプレットからファイルの書き込みや実行が可能に
■IEにパッチ未公開のセキュリティ・ホール,リモート攻撃の可能性
■“ぜい弱性の法則”調査結果を米Qualysが公表,「いまだ70%に攻撃を受ける可能性」
■「欧州/中東/アフリカではP言語の利用が前年比2ケタ減」,米調査
■「企業のネットワーク・セキュリティ,OSよりセキュリティ製品の脆弱性が増加」,米調査
■「DDoS/DoS攻撃による企業の被害額は10億ドルを超える」,米netZentry
■【PHPウォッチ】第14回 ワーム出現でセキュリティ強化に立ち上がるコミュニティ
[発表資料へ]