中

 

 

UserminのWebメール機能には、特別に構成されたHTMLメールを表示すると同時に、Userminサーバ上で任意のOSコマンドの実行が行われてしまう問題が存在します。

 

 

UserminはUnixシステムの全てのユーザが簡単にメールの受信をしたり、SSHやメールの転送のための設定を行うことのできるのWebインタフェースです。

このWebインタフェースを通じてメールの送受信を行うモジュールには問題があり、受信したHTMLメールに含まれる別のUserminモジュールへのリンクを適切に除去しません。
このため、攻撃者はこの問題を利用することで、Userminが動作しているサーバにおいて、Userminへのログインユーザ権限での任意のOSコマンドの実行を行わせることが可能になります。

 

 

Usermin Version 1.070

Usermin Version 1.080

 

 

Usermin バージョン 1.090以降へアップグレードを行うことでこの問題を解消することができます。これは以下のURLより入手可能です。

 

 

山崎 圭吾

 

 

Mr. Jamie Cameron

 

 

免責：
このアドバイザリで示される情報は予告なしに変更されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

 

 

このアドバイザリの再配布は、下記条件を満たす限り自由です。 

 

発行元URLとして、以下のURLを明記する。

http://www.lac.co.jp/info/advisory/77.html