公開日:2005/09/20 最終更新日:2005/10/18

JVN#40940493
Webmin および Usermin における認証回避の脆弱性

概要

ウェブベースの UNIX 用システム管理ツールである Webmin および Usermin には、PAM 認証を利用している場合、遠隔の第三者が、Webmin および Usermin の認証を回避できる脆弱性があります。

影響を受けるシステム


  • Webmin Version 1.200 から 1.220
  • Usermin Version 1.130 から 1.160

詳細情報

想定される影響

遠隔の第三者により、Webmin および Usermin の認証を回避されます。その結果、ルート権限で任意のコマンドを実行される可能性があります。

対策方法

ベンダ情報

ベンダ リンク
webmin Security Alerts

参考情報

  1. IPA
    Webmin および Usermin における認証回避の脆弱性
  2. LAC SNS Advisory No.83
    Webmin/Usermin PAM Authentication Bypass Vulnerability
  3. 日本Webminユーザ会 公式Webページ
    Webminおよび Userminに、認証回避の脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき 下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。 報告者: 株式会社ラック 山崎 圭吾 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
NISCC Advisory
TRnotes

更新履歴

2005/09/22
CVE 番号を追加しました。
2005/09/22
参考情報:ラックの情報を追加しました。
2005/09/22
参考情報:日本Webminユーザ会 公式Webページへのリンクを追加しました。
2005/10/18
概要情報:影響を受けるシステムのバージョン情報を修正しました。