SNS Advisory No.75
Webmin/Usermin Account Lockout Bypass Vulnerability

Problem first discovered on: Tue, 30 Mar 2004
Published on: Fri, 11 Jun 2004

概要：
Webmin、およびUserminには、アカウントロックアウト機能を迂回することが可能となる問題があります。

問題：
WebminはWebベースのUnixのシステム管理ツールです。また、UserminはUnixシステムの全てのユーザが簡単にメールの受信をしたり、SSHやメールの転送のための設定を行うことのできるWebインタフェースです。

これらに実装されているアカウントロックアウト機能には問題があり、不正な文字列をそのままパースしてしまいます。このため、攻撃者はアカウントロックアウト機能を迂回し、IDおよびパスワードの推測を継続的に行うことや、正規のユーザのログオンを妨害することが可能となります。

問題を確認したバージョン：
Webmin Version 1.140
Usermin Version 1.070

対策：
Webmin バージョン 1.150以降、またはUsermin バージョン 1.080以降へアップグレードを行うことでこの問題を解消することができます。これらは以下のURLより入手可能です。
http://www.webmin.com/

発見者：
山崎 圭吾

謝辞：
Mr. Jamie Cameron

免責：
このアドバイザリで示される情報は予告なしに変更されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/75.html