「Webmin」にループDoS攻撃受ける脆弱性 - 最新版に更新を
ウェブベースのシステム管理ツール「Webmin」「Virtualmin」がループDoS攻撃へ悪用されるおそれがあることがわかった。8月のアップデートで修正済みだという。
両ソフトウェアにおいて、「UDPプロトコル」の実装に問題があり、ループ状態が生じてサービス拒否に陥る脆弱性「CVE-2024-2169」に悪用されるおそれがあることが判明したもの。
「UDPサービス」のディスカバリに用いる「UDP 10000番ポート」では、任意のUDPリクエストに応答するが、送信元のIPアドレスを偽造したUDPパケットを送信されると、ホスト間で無限にトラフィックのやり取りが発生。ループDoS攻撃に悪用されるおそれがある。
現地時間7月24日にリリースされた「Virtualmin 7.20.2」、8月12日にリリースされた「Webmin 2.202」にて同問題は修正済みだという。
また一時的な回避策として、インターネット経由のアクセスに対し、UDP 10000番ポートをブロックする緩和策などもアナウンスされている。
(Security NEXT - 2024/09/06 )
ツイート
関連リンク
PR
関連記事
手話通訳者の個人情報をメールに誤添付 - 群馬県
サイト掲載の会議録に個人情報 - 印西地区環境整備事業組合
「JPAAWG 7th General Meeting」、参加登録を受付中
「MS Edge」にセキュリティアップデート - 脆弱性4件を修正
オンライン不正送金被害額、前四半期から約4割増
400近いエプソン製プリンタやスキャナに脆弱性 - 管理者パスワードの設定を
寄付プラグイン「GiveWP」にRCE脆弱性 - 最新版へ更新を
「WordPress」向け寄付プラグインに深刻な脆弱性
ローコード開発プラットフォーム「Scriptcase」に深刻な脆弱性
SAPのeコマース製品はじめ脆弱性4件を悪用リストに追加 - 米当局