パスワードを忘れた? アカウント作成
Close
5100 story

Webmin, Userminにroot権限奪取のセキュリティホール 11

ストーリー by Oliver
便利そうなツールもリスクを伴う 部門より

k3c 曰く、 "SNS Advisoryによれば、Webminのバージョン1.060までとUserminのバージョン0.990までには、BASIC認証の処理に問題があり、パスワードのタイムアウトが有効で、かつ、有効なユーザ名を知っていれば、ユーザがログイン済であるというセッションIDを発行させることが可能であるという。この脆弱性を利用してadmin権限を奪取すれば、root権限で任意のコマンドを実行できてしまう。既にこの問題を修正済のWebminバージョン1.070とUserminバージョン1.000が公開されているので、使っているヒトはバージョンアップすべし。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Webmin, Userminにroot権限奪取のセキュリティホール More

  • アップデートの仕方 (スコア:4, 参考になる)

    by setu (6905) on 2003年02月26日 3時43分 (#267952) ホームページ 日記
    は、自分のサーバーのWebminのトップページから、Webmin>Webmin設定>Webminのアップグレードで、Webminのサイトから最新版をインストールできるのは、ご存知ですよね。念のため。
    いつもの更新はあっと言う間に終わるのに、みんなあわててアップグレードしているのか、ダウンロードに時間がかかってます。

    あ、無事アップグレードが終わりました。よかったよかった。

  • exploit (スコア:1)

    by k3c (4386) on 2003年02月26日 20時11分 (#268418) ホームページ 日記
    がBuqTraqに投稿された [neohapsis.com]ようです。

    エンコードの解き方さえコード読んで理解すればやることはHTTPリクエストだけなんですね…。うーむ。

  • こんなの使ってる人って (スコア:0)

    by Anonymous Coward on 2003年02月26日 11時31分 (#268103)
    居るの?
    • 80/tcpしか通らなくって、通常のWebコンテンツ提供とシステム管理もしたい場合にはお手軽ですね。

      会社->自宅などは80/tcpでしか出られない人は割と居るんじゃないかな。
      --
      Just a whisper. I hear it in my ghost.
      シェア
      親コメント
    • 自分で使うのは、qmailの設定(CUIで設定を覚える前にwebminを覚えてしまったので)と、システムやネットワークのモニター。(これはサードパーティのモジュール)。MRTGよりもグラフが見やすいので、もっぱらこっちで見てます。

      それよりは、他の人に一部権限を渡すときに便利ですよ。コマンドを覚えさせる必要がないので、嫌がられないし、結構細かく部分的な権限だけを渡すことができます。

      「UIDが600番移行の新規ユーザを作れる」とか、
      「新しい仮想ドメインを作って、以降管理ができる」とか。
      シェア
      親コメント
    • vine linuxでは2.5以降標準です。
      厨房なので、まだ入れたままです(デスクトップ用途のヤツにね、つか鯖立ててませんけど)。

      #当然、普段はデーモンを止めてますけどね。
      --
      gy0
      シェア
      親コメント
    • 居るよ。
    • 便利ですよ。家でuserminを使っています。
      家族に、SSHして以下のコマンドを打って・・と教えるよりuserminを使わせた方が楽です。
typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者