アーカイブ
Webmin/Usermin Cross-site Scripting Vulnerability
2002年5月8日 | 注意喚起
SNS Advisory No.52
Problem first discovered: 2 May 2002
Published: 8 May 2002
概要
Webmin、およびUserminの認証画面には、クロスサイトスクリプティングにつながりうる問題が存在します。
詳細
WebminはWebベースのUnixのシステム管理ツールです。また、UserminはUnixシステムの全てのユーザが簡単にメールの受信をしたり、SSHやメールの転送のための設定を行うためのWebインタフェースです。これらのソフトウェアで使用されている認証画面用のCGIスクリプトにはユーザの入力をそのままエラー画面に出力するため、潜在的にクロスサイトスクリプティングにつながりうる脆弱性を含んでいます。なお、これはWebmin、およびUserminにログインしていない状態でのみ成立するため、Webmin、およびUserminのCookieを取得することはできません。しかし、同一ホストで通常のWebサービスを稼動させている場合、そのCookieを取得されてしまう恐れがあります。
問題を確認したバージョン
Webmin Version:0.960
Usermin Version:0.90
対策
Webmin バージョン 0.970、およびUsermin バージョン 0.910へアップグレードを行うことでこの問題を解消することができます。これは以下のURLより入手可能です。
http://www.webmin.com/
発見者
山崎 圭吾(ラック)