Debian セキュリティ勧告
DSA-1199-1 webmin -- 複数の脆弱性
- 報告日時:
- 2006-10-23
- 影響を受けるパッケージ:
- webmin
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 341394, バグ 381537, バグ 391284.
(SecurityFocus の) Bugtraq データベース: BugTraq ID 15629, BugTraq ID 18744, BugTraq ID 19820.
Mitre の CVE 辞書: CVE-2005-3912, CVE-2006-3392, CVE-2006-4542. - 詳細:
-
複数の脆弱性が、ウェブベースの管理ツールキット webmin で確認されました。 Common Vulnerabilities and Exposures プロジェクトでは以下の脆弱性を特定しています。
- CVE-2005-3912
miniserv.pl にフォーマット文字列脆弱性があり、 攻撃者がアプリケーションをクラッシュさせたり、 システムリソースを使い果させることで、サービス不能 (DoS) 攻撃を引き起こし、任意のコードを実行される可能性があります。
- CVE-2006-3392
miniserv.pl に入力に対する不十分なサニタイズ処理があり、 攻撃者が miniserv http サーバに特殊な細工をした URL パスを送信することによって、webmin ホスト上の任意のファイルを読む出すことが可能です。
- CVE-2006-4542
miniserv.pl に URL 中のヌル文字の不適切な処理があり、 攻撃者がクロスサイトスクリプティング攻撃を導いて、CGI プログラムソースコードを読み込んだり、ローカルディレクトリをリストアップしたり、 任意のコードの実行を引き起こしたりする可能性があります。
安定版では、alpha、amd64、arm、hppa、i386、ia64、m68k、mips、mipsel、powerpc、s390、sparc の各アーキテクチャ向けの更新が利用できます。
安定版ディストリビューション (stable、コードネーム sarge) では、これらの問題はバージョン 1.180-3sarge1 で修正されています。
Webmin は、不安定版 (sid) あるいはテスト版 (etch) には含まれていないので、これらの問題は存在しません。
webmin (1.180-3sarge1) パッケージのアップグレードをお勧めします。
- CVE-2005-3912
- 修正:
-
Debian GNU/Linux 3.1 (stable)
- ソース:
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1.dsc
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1.diff.gz
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180.orig.tar.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/w/webmin/webmin-core_1.180-3sarge1_all.deb
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1_all.deb
- http://security.debian.org/pool/updates/main/w/webmin/webmin_1.180-3sarge1_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。