SNS Advisory No.52
Webmin/Usermin Cross-site Scripting Vulnerability

Problem first discovered:2 May 2002
Published:8 May 2002

概要：
Webmin、およびUserminの認証画面には、クロスサイトスクリプティングにつながりうる問題が存在します。

詳細：
WebminはWebベースのUnixのシステム管理ツールです。また、UserminはUnixシステムの全てのユーザが簡単にメールの受信をしたり、SSHやメールの転送のための設定を行うためのWebインタフェースです。これらのソフトウェアで使用されている認証画面用のCGIスクリプトにはユーザの入力をそのままエラー画面に出力するため、潜在的にクロスサイトスクリプティングにつながりうる脆弱性を含んでいます。なお、これはWebmin、およびUserminにログインしていない状態でのみ成立するため、Webmin、およびUserminのCookieを取得することはできません。しかし、同一ホストで通常のWebサービスを稼動させている場合、そのCookieを取得されてしまう恐れがあります。

問題を確認したバージョン：
Webmin Version：0.960
Usermin Version：0.90

対策：
Webmin バージョン 0.970、およびUsermin バージョン 0.910へアップグレードを行うことでこの問題を解消することができます。これは以下のURLより入手可能です。
http://www.webmin.com/

発見者：
山崎 圭吾（LAC）

免責：
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/52.html