SNS Advisory No.53
Webmin/Usermin Session ID Spoofing Vulnerability

Problem first discovered:4 May 2002
Published:8 May 2002 

概要：
Webmin、およびUserminの親プロセスと子プロセス間の通信に問題があり、任意のユーザでログイン済みであるかのようなセッションIDを偽造することが可能です。これにより、ログインしていないユーザがこれらのソフトウェアを利用することが可能となります。

詳細：
WebminはWebベースのUnixのシステム管理ツールです。また、UserminはUnixシステムの全てのユーザが簡単にメールの受信をしたり、SSHやメールの転送のための設定を行うためのWebインタフェースです。これらのソフトウェアでは、Webを経由したアクセス管理のために使用するセッションIDの作成や確認、およびパスワードタイムアウトの設定などの処理の際に、親プロセスと子プロセス間でパイプを使用した通信を行っています。このとき、認証情報として渡されるデータ中に含まれる制御文字の排除が行われていないため、このパイプを利用することで、任意のセッションIDとユーザの組み合わせがログイン済みであるとWebmin、およびUserminに認識させることが可能です。これを利用してWebminの機能を利用することができた場合、root権限で任意のコマンドを実行することができる可能性があります。

[成功条件]

Webminの場合：

*Webminの設定->認証とセッションオプション
"パスワードのタイムアウトを有効"の設定が適用されていること

*有効なWebminのユーザ名を知っていること
ただし、デフォルトでは、ユーザ"admin"が存在し、このユーザはすべての機能を利用可能です。

Userminの場合：

*"パスワードのタイムアウトを有効"の設定が適用されていること
*有効なUserminのユーザ名を知っていること

問題を確認したバージョン：
Webmin Version 0.960
Usermin Version 0.90

対策：
Webmin バージョン 0.970、およびUsermin バージョン 0.910へアップグレードを行うことでこの問題を解消することができます。これは以下のURLより入手可能です。
http://www.webmin.com/

発見者：
山崎 圭吾（LAC）

免責：
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/53.html