「Webmin」にループDoS攻撃受ける脆弱性 - 最新版に更新を

ウェブベースのシステム管理ツール「Webmin」「Virtualmin」がループDoS攻撃へ悪用されるおそれがあることがわかった。8月のアップデートで修正済みだという。

両ソフトウェアにおいて、「UDPプロトコル」の実装に問題があり、ループ状態が生じてサービス拒否に陥る脆弱性「CVE-2024-2169」に悪用されるおそれがあることが判明したもの。

「UDPサービス」のディスカバリに用いる「UDP 10000番ポート」では、任意のUDPリクエストに応答するが、送信元のIPアドレスを偽造したUDPパケットを送信されると、ホスト間で無限にトラフィックのやり取りが発生。ループDoS攻撃に悪用されるおそれがある。

現地時間7月24日にリリースされた「Virtualmin 7.20.2」、8月12日にリリースされた「Webmin 2.202」にて同問題は修正済みだという。

また一時的な回避策として、インターネット経由のアクセスに対し、UDP 10000番ポートをブロックする緩和策などもアナウンスされている。

（Security NEXT - 2024/09/06 ） ツイート

PR

関連記事

県立高の林間学校で生徒名簿を紛失 - 埼玉県
小学校で2年分の心臓検診診断票が所在不明 - 名古屋市
イベント募集の関連ファイルに無関係の20年前登記情報 - 福山市
サイバー攻撃で障害、FW更新時に設定ミス - アクリーティブ
ネットワーク機器経由で侵害、個人情報流出か - クールジャパン機構
ワークフロー管理ツール「Apache DolphinScheduler」に脆弱性
Samsung、モバイル端末の複数脆弱性を修正 - 一部で悪用も
先週注目された記事（2025年9月7日〜2025年9月13日）
AI開発フレームワーク「Flowise」に複数の「クリティカル」脆弱性
ゴルフスクールのインスタアカが乗っ取り被害 - 意図しない投稿