Webmin, Userminにroot権限奪取のセキュリティホール 11
ストーリー by Oliver
便利そうなツールもリスクを伴う 部門より
便利そうなツールもリスクを伴う 部門より
k3c 曰く、 "SNS Advisoryによれば、Webminのバージョン1.060までとUserminのバージョン0.990までには、BASIC認証の処理に問題があり、パスワードのタイムアウトが有効で、かつ、有効なユーザ名を知っていれば、ユーザがログイン済であるというセッションIDを発行させることが可能であるという。この脆弱性を利用してadmin権限を奪取すれば、root権限で任意のコマンドを実行できてしまう。既にこの問題を修正済のWebminバージョン1.070とUserminバージョン1.000が公開されているので、使っているヒトはバージョンアップすべし。"
アップデートの仕方 (スコア:4, 参考になる)
いつもの更新はあっと言う間に終わるのに、みんなあわててアップグレードしているのか、ダウンロードに時間がかかってます。
あ、無事アップグレードが終わりました。よかったよかった。
Re:アップデートの仕方 (スコア:1)
プレステ2で使っています。
が、何故かその方法ではアップグレードできませんでした。
ダウンロードは終わっていたのに・・・。
そう言うわけで、tar.gzを展開して`./setup.sh'で無事にアップグレード完了でした。
#何がいけなかったんだろう・・・。
李 露星
Re:アップデートの仕方 (スコア:1)
ちとおっかなくて使う気になれないんだけども。
# 1.0.70には一昨日上げてありました
exploit (スコア:1)
エンコードの解き方さえコード読んで理解すればやることはHTTPリクエストだけなんですね…。うーむ。
こんなの使ってる人って (スコア:0)
Re:こんなの使ってる人って (スコア:1)
会社->自宅などは80/tcpでしか出られない人は割と居るんじゃないかな。
Just a whisper. I hear it in my ghost.
Re:こんなの使ってる人って (スコア:1)
それよりは、他の人に一部権限を渡すときに便利ですよ。コマンドを覚えさせる必要がないので、嫌がられないし、結構細かく部分的な権限だけを渡すことができます。
「UIDが600番移行の新規ユーザを作れる」とか、
「新しい仮想ドメインを作って、以降管理ができる」とか。
Re:こんなの使ってる人って (スコア:1)
厨房なので、まだ入れたままです(デスクトップ用途のヤツにね、つか鯖立ててませんけど)。
#当然、普段はデーモンを止めてますけどね。
gy0
Re:こんなの使ってる人って (スコア:0)
Re:こんなの使ってる人って (スコア:0)
Re:こんなの使ってる人って (スコア:0)
家族に、SSHして以下のコマンドを打って・・と教えるよりuserminを使わせた方が楽です。