Project Vine の鈴木です。 ---------------------------------------------------------------------- ●サマリ 日付 2002/10/27 タイトル Webmin にセキュリティホール パッケージ名 webmin errata のURL http://vinelinux.org/errata/25x/20021027-1.html 関連URL http://vinelinux.org/errata/25x/20021027-1.html ---------------------------------------------------------------------- 問題の詳細 Vine Linux 2.6 の webmin にインストーラの仕様と現在の webminパッケージとの不整合によるセキュリティホールが 見つかりました。この問題はインストーラを使って新規イ ンストールした場合のみに発覚します。apt-get dist-upgrade でアップグレードした場合や、自分であらためてパスワードを 設定した場合は問題はありません。また、2.5 updates と 2.6 共通の問題として、アクセス制御関連の設定が緩いためリモー トからもログインできてしまう問題もあります。 webmin は初めてログインする場合に、本来であればrootのパス ワードを要求されるべきところ、新規インストールの場合のみ パスワード無しでログインできてしまうというセキュリティホ ールが見つかりました。 これは、インストーラが rpm を展開する時点ではまだ root にパスワードが設定されていないことが原因で発生する問題で、 この結果空のパスワードを crypt したものが webmin の認証 ファイルに入ってしまっています。 早急に webmin を止め、apt-get install webmin をしてくださ い。なお、アップグレードした後は null パスワードは現在の root のパスワードに置き変えられ、アクセス許可が localhost からののみに書き変わります。 (すでに制限をかけている場合は変わりません) 対象 2.5/{i386,ppc,alpha} 2.6/{i386,ppc,alpha} で webmin をインストールしている人 修正パッケージ webmin-1.000-1vl5.noarch.rpm アップデート方法 rpm -Fvh webmin-1.000-1vl5.noarch.rpm または apt-get update && apt-get install webmin 注意事項 Vine Linux 2.6/2.6CR をインストールした場合は、直ちに /etc/init.d/webmin stop を行いアップグレードをしてください。 ==================== -- Daisuke SUZUKI <daisuke@xxxxxxxxxxx> President, Project Vine. http://vinelinux.org/ President, Vine Caves, Ltd. http://vinecaves.com/ Vice President, Japan Linux Association. http://jla.linux.or.jp/