Webminに脆弱性、コンピュータを制御される恐れ

システム管理ツール「Webmin」にコンピュータが乗っ取られるOSコマンドインジェクションの脆弱性が見つかった。

» 2007年10月03日 16時15分 公開
[ITmedia]

 情報処理推進機構(IPA)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は10月3日、Webベースのシステム管理ツール「Webmin」に、任意にOSコマンドを実行されるOSコマンドインジェクションの脆弱性があるとして、JVN(Japan Vulnerability Notes)に情報を公開した。

 WebminはWebブラウザからユーザーアカウントの追加やサーバ設定といったコンピュータ管理を行えるオープンソースソフトウェア。このWebminのWindows版にOSコマンドインジェクションの脆弱性が存在する。

 この脆弱性を突かれ、Webminが導入されているコンピュータが攻撃者から細工を施したリクエストを受けると、ローカル権限において任意のOSコマンドが実行される恐れがあるという。その結果、リモートからシステムが制御可能になりコンピュータ上の情報改ざんや漏えい、マルウェアのインストールなどを許してしまう。

 問題の影響を受けるのは、Windows版のWebmin 1.360およびそれ以前。開発元のWebminプロジェクトでは脆弱性を修正したWebmin 1.370を公開済み。IPAでは最新版へのアップデートを呼びかけている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ