ITmedia NEWS >

Webベースの管理ツール「Webmin」「Usermin」に不正なログオンを許す脆弱性

» 2005年09月21日 00時48分 公開
[ITmedia]

 WebブラウザからUNIX/Linuxのシステム管理を行うためのツールである「Webmin」と「Usermin」に脆弱性が発見された。情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が運営している脆弱性情報サイト、JVNでは9月20日、この脆弱性に関する情報を公開している。

 この脆弱性は、Webmin 1.220以前/Usermin 1.150以前に存在する。認証機能に問題があり、PAM(Pluggable Authentication Modules)認証オプションを有効にしていると、認証を回避され、悪意あるユーザーに不正なログオンを許す恐れがある。

 結果として、リモートから管理者としてログオンされ、各種アカウント設定やサーバ設定、各ユーザーのメールの転送設定などを変更されたり、コマンドを実行される恐れがある。

 開発元では9月20日付けで、問題を開発した新バージョン「Webmin 1.230」および「Usermin 1.160」をリリースしており、これらにアップグレードを行えば問題を解消できる。また、PAM認証オプションを無効にすることでも問題を回避できるが、開発元では、「いずれにしてもアップグレードが推奨される」としている。

Copyright © ITmedia, Inc. All Rights Reserved.