情報処理推進機構(IPA)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は10月3日、Webベースのシステム管理ツール「Webmin」に、任意にOSコマンドを実行されるOSコマンドインジェクションの脆弱性があるとして、JVN(Japan Vulnerability Notes)に情報を公開した。
WebminはWebブラウザからユーザーアカウントの追加やサーバ設定といったコンピュータ管理を行えるオープンソースソフトウェア。このWebminのWindows版にOSコマンドインジェクションの脆弱性が存在する。
この脆弱性を突かれ、Webminが導入されているコンピュータが攻撃者から細工を施したリクエストを受けると、ローカル権限において任意のOSコマンドが実行される恐れがあるという。その結果、リモートからシステムが制御可能になりコンピュータ上の情報改ざんや漏えい、マルウェアのインストールなどを許してしまう。
問題の影響を受けるのは、Windows版のWebmin 1.360およびそれ以前。開発元のWebminプロジェクトでは脆弱性を修正したWebmin 1.370を公開済み。IPAでは最新版へのアップデートを呼びかけている。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.