アーカイブ
Usermin Remote Arbitrary Shell Command Execution Vulnerability
2004年9月7日 | 注意喚起
SNS Advisory No.77
Problem first discovered on: Sun, 11 Apr 2004
Published on: Tue, 07 Sept 2004
脅威度
中
概要
UserminのWebメール機能には、特別に構成されたHTMLメールを表示すると同時に、Userminサーバ上で任意のOSコマンドの実行が行われてしまう問題が存在します。
問題
UserminはUnixシステムの全てのユーザが簡単にメールの受信をしたり、SSHやメールの転送のための設定を行うことのできるのWebインタフェースです。
このWebインタフェースを通じてメールの送受信を行うモジュールには問題があり、受信したHTMLメールに含まれる別のUserminモジュールへのリンクを適切に除去しません。
このため、攻撃者はこの問題を利用することで、Userminが動作しているサーバにおいて、Userminへのログインユーザ権限での任意のOSコマンドの実行を行わせることが可能になります。
問題を確認したバージョン
Usermin Version 1.070
Usermin Version 1.080
対策
Usermin バージョン 1.090以降へアップグレードを行うことでこの問題を解消することができます。これは以下のURLより入手可能です。
発見者
山崎 圭吾
謝辞:
Mr. Jamie Cameron