Webminにセキュリティホール

オープンソースのシステム管理ツールWebminにセキュリティ・ホール
http://itpro.nikkeibp.co.jp/article/NEWS/20060623/241623/

自宅サーバでも時々利用するWebminにホール。ただしWindowsのみ。
どんな脆弱性かというと、「ディレクトリ・トラバーサル」らしい。

ディレクトリトラバーサルとは - はてな
ディレクトリトラバース、パストラバーサルともいう。

相対パス記法を利用して、管理者や利用者の想定しているのとは別のディレクトリのファイルを指定するソフトウェアの攻撃方法。

相対パス記法を悪用したディレクトリトラバーサル攻撃を受ける場合、意図しないファイルが読み出され、情報が漏えいする、既存のファイルが破壊されるなどの危険があるので、外部から入力されたパス名の検査が必要になる。

相対パスでディレクトリを指定されてしまうと、本来アクセスさせたくない場所にもアクセス出来てしまう場合がある。
対策としては、パラメータのチェックを徹底的にやること。
「..」を弾く。エンコードの処理をきっちりとやる。などなど。