LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

注意喚起 | 

Webmin/Usermin Cross-site Scripting Vulnerability

SNS Advisory No.52

Problem first discovered: 2 May 2002
Published: 8 May 2002

概要

Webmin、およびUserminの認証画面には、クロスサイトスクリプティングにつながりうる問題が存在します。

詳細

WebminはWebベースのUnixのシステム管理ツールです。また、UserminはUnixシステムの全てのユーザが簡単にメールの受信をしたり、SSHやメールの転送のための設定を行うためのWebインタフェースです。これらのソフトウェアで使用されている認証画面用のCGIスクリプトにはユーザの入力をそのままエラー画面に出力するため、潜在的にクロスサイトスクリプティングにつながりうる脆弱性を含んでいます。なお、これはWebmin、およびUserminにログインしていない状態でのみ成立するため、Webmin、およびUserminのCookieを取得することはできません。しかし、同一ホストで通常のWebサービスを稼動させている場合、そのCookieを取得されてしまう恐れがあります。

問題を確認したバージョン

Webmin Version:0.960
Usermin Version:0.90

対策

Webmin バージョン 0.970、およびUsermin バージョン 0.910へアップグレードを行うことでこの問題を解消することができます。これは以下のURLより入手可能です。

http://www.webmin.com/

発見者

山崎 圭吾(ラック)


この記事は役に立ちましたか?

はい いいえ