公開日:2005/09/20 最終更新日:2005/10/18

JVN#40940493
Webmin および Usermin における認証回避の脆弱性

概要

ウェブベースの UNIX 用システム管理ツールである Webmin および Usermin には、PAM 認証を利用している場合、遠隔の第三者が、Webmin および Usermin の認証を回避できる脆弱性があります。

影響を受けるシステム


  • Webmin Version 1.200 から 1.220
    • Usermin Version 1.130 から 1.160

    詳細情報

    想定される影響

    遠隔の第三者により、Webmin および Usermin の認証を回避されます。その結果、ルート権限で任意のコマンドを実行される可能性があります。

    対策方法

    ベンダ情報

    ベンダ リンク
    webmin Security Alerts

    参考情報

    1. IPA
      Webmin および Usermin における認証回避の脆弱性
    2. LAC SNS Advisory No.83
      Webmin/Usermin PAM Authentication Bypass Vulnerability
    3. 日本Webminユーザ会 公式Webページ
      Webminおよび Userminに、認証回避の脆弱性

    JPCERT/CCからの補足情報

    JPCERT/CCによる脆弱性分析結果

    謝辞

    本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
    下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
    報告者: 株式会社ラック 山崎 圭吾 氏

    関連文書

    JPCERT 緊急報告
    JPCERT REPORT
    CERT Advisory
    CPNI Advisory
    TRnotes
    CVE CAN-2005-3042
    JVN iPedia