[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[SNS Advisory No.74] Webmin Access Control Rule Bypass Vulnerability

To: bugtraq-jp@xxxxxxxxxxxxxxxxx
Subject: [SNS Advisory No.74] Webmin Access Control Rule Bypass Vulnerability
From: snsadv@xxxxxxxxx (snsadv)
Date: Fri, 11 Jun 2004 17:20:39 +0900

----------------------------------------------------------------------
SNS Advisory No.74
Webmin Access Control Rule Bypass Vulnerability

Problem first discovered on: Sun, 11 Apr 2004
Published on: Fri, 11 Jun 2004
----------------------------------------------------------------------

概要:
-----
  Webmin には、アクセス権限をもたないユーザがモジュールの設定内容を表示
  させることが可能な問題があります。


問題:
-----
  Webmin は、システムの基本設定やサーバの設定などを Web ブラウザで行う
  ことが可能な環境設定ユーティリティであり、Linux や Unix などのオペレー
  ティングシステムで利用されています。

  この Web インタフェースを通じて設定変更を可能にするモジュールには問
  題があり、アクセス権限をもたないユーザであっても、その設定内容を閲覧
  することが可能です。


問題を確認したバージョン:
-------------------------
  Webmin Version 1.140


対策:
-----
  Webmin バージョン 1.150 以降へアップグレードを行うことでこの問題を
  解消することができます。これは以下の URL より入手可能です。

    http://www.webmin.com/ 


発見者:
-------
  山崎 圭吾


謝辞:
-----
  Mr. Jamie Cameron


免責:
-----
  このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あ
  るがままの形で提供されます。この情報を適用し生起される結果のリスクは利用
  者が負うものとし、株式会社ラックは一切の責任を負わないものとします。


再配布について:
---------------
  このアドバイザリの再配布は、下記条件を満たす限り自由です。

  発行元 URL として、以下の URL を明記する。 
  http://www.lac.co.jp/security/csl/intelligence/SNSadvisory/74.html

------------------------------------------------------------------
Secure Net Service(SNS) Security Advisory <snsadv@xxxxxxxxx>
Computer Security Laboratory, LAC  http://www.lac.co.jp/security/

Prev by Date: [SNS Advisory No.73] Usermin Cross-site Scripting Vulnerability
Next by Date: Re: [SNS Advisory No.75] Webmin/Usermin Account Lockout Bypass Vulnerability
Previous by thread: [SNS Advisory No.73] Usermin Cross-site Scripting Vulnerability
Next by thread: [SNS Advisory No.76] Printing from Internet Explorer Lets Users to Cause DoS
Index(es):
- Date
- Thread