SNS Advisory No.73
Usermin Cross-site Scripting Vulnerability

Problem first discovered on: Sun, 11 Apr 2004
Published on: Fri, 11 Jun 2004

概要：
UserminのWebメール機能には、クロスサイトスクリプティングにつながりうる問題が存在します。

問題：
UserminはUnixシステムの全てのユーザが簡単にメールの受信をしたり、SSHやメールの転送のための設定を行うことのできるのWebインタフェースです。

このWebインタフェースを通じてメールの送受信を行うモジュールには問題があり、受信したHTMLメールに含まれたスクリプトが完全に除去されません。攻撃者はこの問題を利用することで、Cookie情報を奪取し、システムの不正操作をすることが可能になります。

問題を確認したバージョン：
Usermin Version 1.070

対策：
Usermin バージョン 1.080以降へアップグレードを行うことでこの問題を解消することができます。これは以下のURLより入手可能です。

http://www.webmin.com/

発見者：
山崎 圭吾

謝辞：
Mr. Jamie Cameron

免責：
このアドバイザリで示される情報は予告なしに変更されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/73.html