アーカイブ

Webmin/Usermin Account Lockout Bypass Vulnerability

2004年6月11日　|　注意喚起

SNS Advisory No.75

Problem first discovered on: Tue, 30 Mar 2004
Published on: Fri, 11 Jun 2004

概要

Webmin、およびUserminには、アカウントロックアウト機能を迂回することが可能となる問題があります。

WebminはWebベースのUnixのシステム管理ツールです。また、UserminはUnixシステムの全てのユーザが簡単にメールの受信をしたり、SSHやメールの転送のための設定を行うことのできるWebインタフェースです。

これらに実装されているアカウントロックアウト機能には問題があり、不正な文字列をそのままパースしてしまいます。このため、攻撃者はアカウントロックアウト機能を迂回し、IDおよびパスワードの推測を継続的に行うことや、正規のユーザのログオンを妨害することが可能となります。

Webmin Version 1.140
Usermin Version 1.070

Webmin バージョン 1.150以降、または Usermin バージョン 1.080以降へアップグレードを行うことでこの問題を解消することができます。これらは以下のURLより入手可能です。

http://www.webmin.com/

山崎圭吾

謝辞：
Mr. Jamie Cameron