●2002,10,27● webmin にセキュリティホール(10/30 更新)

対象 (Vine Linuxバージョン):

2.5/{i386,ppc,alpha} 2.6/{i386,ppc,alpha}

内容:

Vine Linux 2.6 の webmin にインストーラの仕様と現在の webmin パッケージとの不整合によるセキュリティホールが見つかりました。 この問題はインストーラを使って新規インストールした場合のみに 発覚します。apt-get dist-upgrade でアップグレードした場合や、 自分であらためてパスワードを設定した場合は問題はありません。
また、2.5 updates と 2.6 共通(1.000-1vl1〜1vl4)の問題として、 アクセス制御関連の設定が緩いためリモートからもログインできて しまう問題もあります。(更新:10/27 16:18)
1.000-1vl5 では無効なパスワードがはいってしまうケースがありました。 更新した 1.000-1vl7 を御利用ください。(更新:10/30 22:35)
原因: webmin は初めてログインする場合に、本来であれば root のパスワ ードを要求されるべきところ、新規インストールの場合のみパスワ ード無しでログインできてしまうというセキュリティホールが見つか りました。これは、インストーラが rpm を展開する時点ではまだ root にパスワードが設定されていないことが原因で発生する問題で、 この結果空のパスワードを crypt したものが webmin の認証ファイル に入ってしまっています。
早急に webmin を止め、apt-get install webmin をしてください。 なお、アップグレードした後は null パスワードは現在の root のパスワードに置き変えられ、アクセス許可が localhost からの のみに書き変わります。(すでに制限をかけている場合は変わりません)

緊急対処としては、以下のようにしてください。

  # /etc/init.d/webmin stop
  # echo "root:`grep "^root:" /etc/shadow | cut -f 2 -d :`:0" > /etc/webmin/miniserv.users
  # echo "allow=127.0.0.1" >> /etc/webmin/miniserv.conf

また、以下の手順で webmin のパスワードを変更することも可能です。 ( の部分は適切なパスワードで置き換えてください。)

  # /usr/libexec/webmin/changepass.pl /etc/webmin root 

修正ずみパッケージ／ファイル:

webmin-1.000-1vl7.noarch.rpm

入手先：各ミラーサイトの

Vine-2.5/updates/RPMS/i386
Vine-2.5/updates/RPMS/alpha
Vine-2.5/updates/RPMS/ppc

より入手してください。

関連URL:
http://vinelinux.org/errata/25x/20021027-1.html