公開日:2006/08/31 最終更新日:2006/09/01

JVN#99776858
Webmin および Usermin にクロスサイトスクリプティングを含む複数の脆弱性

概要


ウェブベースのシステム管理ツールである Webmin および Usermin には、以下の脆弱性が存在します。

・Webmin および Usermin のアクセス制限を回避したファイルの実行とソースコードの閲覧
・クロスサイトスクリプティングの問題

影響を受けるシステム

  • Webmin Version 1.290 およびそれ以前
  • Usermin Version 1.220 およびそれ以前

    2006年8月31日現在、本脆弱性は、Webmin development version 1.297 および Usermin development version 1.226 にて修正されていることが確認されています。最新版については、ベンダ情報の Development Versions of Webmin and Usermin をご参照ください。

詳細情報

想定される影響


遠隔の第三者により、以下のような影響を受ける可能性があります。

・Webmin および Usermin の設定情報が漏洩する
・ユーザのブラウザ上で任意のスクリプトが実行される
・また、Cookie 情報に含まれるセッション情報が漏洩した結果、セッション・ハイジャックが行われる可能性があります

対策方法

ベンダ情報

ベンダ リンク
webmin Security Alerts
webmin Development Versions of Webmin and Usermin

参考情報

  1. IPA
    「Webmin」および「Usermin」にクロスサイト・スクリプティングを含む複数の脆弱性
  2. LAC
    Webmin/Usermin Null Character "%00" Handling Vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 株式会社ラック 山崎 圭吾 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia