Webmin, Userminにroot権限奪取のセキュリティホール

Webmin, Userminにroot権限奪取のセキュリティホール 11

ストーリー by Oliver 2003年02月26日 3時03分
便利そうなツールもリスクを伴う部門より

k3c 曰く、 "SNS Advisoryによれば、Webminのバージョン1.060までとUserminのバージョン0.990までには、BASIC認証の処理に問題があり、パスワードのタイムアウトが有効で、かつ、有効なユーザ名を知っていれば、ユーザがログイン済であるというセッションIDを発行させることが可能であるという。この脆弱性を利用してadmin権限を奪取すれば、root権限で任意のコマンドを実行できてしまう。既にこの問題を修正済のWebminバージョン1.070とUserminバージョン1.000が公開されているので、使っているヒトはバージョンアップすべし。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索11コメント Log In/Create an Account

アップデートの仕方 (スコア:4, 参考になる)

by setu (6905) on 2003年02月26日 3時43分 (#267952) ホームページ日記

は、自分のサーバーのWebminのトップページから、Webmin>Webmin設定>Webminのアップグレードで、Webminのサイトから最新版をインストールできるのは、ご存知ですよね。念のため。
いつもの更新はあっと言う間に終わるのに、みんなあわててアップグレードしているのか、ダウンロードに時間がかかってます。

あ、無事アップグレードが終わりました。よかったよかった。
- Re:アップデートの仕方 (スコア:1)
  
  by Li Luxing (7797) on 2003年02月26日 6時39分 (#267966)
  
  >Webmin>Webmin設定>Webminのアップグレード
  
  プレステ２で使っています。
  
  が、何故かその方法ではアップグレードできませんでした。
  ダウンロードは終わっていたのに・・・。
  
  そう言うわけで、tar.gzを展開して`./setup.sh'で無事にアップグレード完了でした。
  
  #何がいけなかったんだろう・・・。
  
  --
  李　露星
  
  シェア
  
  親コメント
- Re:アップデートの仕方 (スコア:1)
  
  by ryouki7000 (10944) <reversethis-{moc ... ta} {0007ikuoyr}> on 2003年02月26日 10時11分 (#268050) 日記
  
  [Update modules on schedule]使った事ある人のレポート希望。
  ちとおっかなくて使う気になれないんだけども。
  
  # 1.0.70には一昨日上げてありました
  
  シェア
  
  親コメント
exploit (スコア:1)

by k3c (4386) on 2003年02月26日 20時11分 (#268418) ホームページ日記

がBuqTraqに投稿された [neohapsis.com]ようです。

エンコードの解き方さえコード読んで理解すればやることはHTTPリクエストだけなんですね…。うーむ。
こんなの使ってる人って (スコア:0)

by Anonymous Coward on 2003年02月26日 11時31分 (#268103)

居るの？
- Re:こんなの使ってる人って (スコア:1)
  
  by NotEnough (9948) on 2003年02月26日 12時46分 (#268146)
  
  80/tcpしか通らなくって、通常のWebコンテンツ提供とシステム管理もしたい場合にはお手軽ですね。
  
  会社->自宅などは80/tcpでしか出られない人は割と居るんじゃないかな。
  
  --
  Just a whisper. I hear it in my ghost.
  
  シェア
  
  親コメント
- Re:こんなの使ってる人って (スコア:1)
  
  by setu (6905) on 2003年02月26日 13時06分 (#268163) ホームページ日記
  
  自分で使うのは、qmailの設定(CUIで設定を覚える前にwebminを覚えてしまったので)と、システムやネットワークのモニター。(これはサードパーティのモジュール)。MRTGよりもグラフが見やすいので、もっぱらこっちで見てます。
  
  それよりは、他の人に一部権限を渡すときに便利ですよ。コマンドを覚えさせる必要がないので、嫌がられないし、結構細かく部分的な権限だけを渡すことができます。
  
  「UIDが600番移行の新規ユーザを作れる」とか、
  「新しい仮想ドメインを作って、以降管理ができる」とか。
  
  シェア
  
  親コメント
- Re:こんなの使ってる人って (スコア:1)
  
  by gy0 (3393) on 2003年02月26日 14時12分 (#268212) 日記
  
  vine linuxでは2.5以降標準です。
  厨房なので、まだ入れたままです(デスクトップ用途のヤツにね、つか鯖立ててませんけど)。
  
  #当然、普段はデーモンを止めてますけどね。
  
  --
  gy0
  
  シェア
  
  親コメント
  - Re:こんなの使ってる人って (スコア:0)
    
    by Anonymous Coward
    
    あ、そうなんだ。初めて Webmin が動いているのを見たのが Vine 上でした。
- Re:こんなの使ってる人って (スコア:0)
  
  by Anonymous Coward
  
  居るよ。
- Re:こんなの使ってる人って (スコア:0)
  
  by Anonymous Coward
  
  便利ですよ。家でuserminを使っています。
  家族に、SSHして以下のコマンドを打って・・と教えるよりuserminを使わせた方が楽です。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Webmin, Userminにroot権限奪取のセキュリティホール 11

Webmin, Userminにroot権限奪取のセキュリティホール More ログイン

アップデートの仕方 (スコア:4, 参考になる)

Re:アップデートの仕方 (スコア:1)

Re:アップデートの仕方 (スコア:1)

exploit (スコア:1)

こんなの使ってる人って (スコア:0)

Re:こんなの使ってる人って (スコア:1)

Re:こんなの使ってる人って (スコア:1)

Re:こんなの使ってる人って (スコア:1)

Re:こんなの使ってる人って (スコア:0)

Re:こんなの使ってる人って (スコア:0)

Re:こんなの使ってる人って (スコア:0)

スラド