[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[SNS Advisory No.75] Webmin/Usermin Account Lockout Bypass Vulnerability
- To: bugtraq-jp@xxxxxxxxxxxxxxxxx
- Subject: [SNS Advisory No.75] Webmin/Usermin Account Lockout Bypass Vulnerability
- From: snsadv@xxxxxxxxx (snsadv)
- Date: Fri, 11 Jun 2004 17:21:54 +0900
----------------------------------------------------------------------
SNS Advisory No.75
Webmin/Usermin Account Lockout Bypass Vulnerability
Problem first discovered on: Sun, 11 Apr 2004
Published on: Fri, 11 Jun 2004
----------------------------------------------------------------------
概要:
-----
Webmin および Usermin には、アカウントロックアウト機能を迂回することが
可能となる問題があります。
問題:
-----
Webmin は Webベース の Unix のシステム管理ツールです。また、Usermin は
Unix システムの全てのユーザが簡単にメールの受信をしたり、SSH やメール
の転送のための設定を行うことのできる Web インタフェースです。
これらに実装されているアカウントロックアウト機能には問題があり、不正
な文字列をそのままパースしてしまいます。このため、攻撃者はアカウント
ロックアウト機能を迂回し、ID およびパスワードの推測を継続的に行うこ
とや、正規のユーザのログオンを妨害することが可能となります。
問題を確認したバージョン:
-------------------------
Webmin Version 1.140
Usermin Version 1.070
対策:
-----
Webmin バージョン 1.150 以降または Usermin バージョン 1.080 以降へ
アップグレードを行うことでこの問題を解消することができます。
これらは以下の URL より入手可能です。
http://www.webmin.com/
発見者:
-------
山崎 圭吾
謝辞:
-----
Mr. Jamie Cameron
免責:
-----
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あ
るがままの形で提供されます。この情報を適用し生起される結果のリスクは利用
者が負うものとし、株式会社ラックは一切の責任を負わないものとします。
再配布について:
---------------
このアドバイザリの再配布は、下記条件を満たす限り自由です。
発行元 URL として、以下の URL を明記する。
http://www.lac.co.jp/security/csl/intelligence/SNSadvisory/75.html
------------------------------------------------------------------
Secure Net Service(SNS) Security Advisory <snsadv@xxxxxxxxx>
Computer Security Laboratory, LAC http://www.lac.co.jp/security/