アーカイブ
Usermin Cross-site Scripting Vulnerability
2004年6月11日 | 注意喚起
SNS Advisory No.73
Problem first discovered on: Sun, 11 Apr 2004
Published on: Fri, 11 Jun 2004
概要
UserminのWebメール機能には、クロスサイトスクリプティングにつながりうる問題が存在します。
問題
UserminはUnixシステムの全てのユーザが簡単にメールの受信をしたり、SSHやメールの転送のための設定を行うことのできるのWebインタフェースです。
このWebインタフェースを通じてメールの送受信を行うモジュールには問題があり、受信したHTMLメールに含まれたスクリプトが完全に除去されません。攻撃者はこの問題を利用することで、Cookie情報を奪取し、システムの不正操作をすることが可能になります。
問題を確認したバージョン
Usermin Version 1.070
対策
Usermin バージョン 1.080以降へアップグレードを行うことでこの問題を解消することができます。これは以下のURLより入手可能です。
http://www.webmin.com/
発見者
山崎 圭吾
謝辞:
Mr. Jamie Cameron