|
OpenMediaVault is the next generation NAS solution based on Debian Linux. |
OpenMediaVaultに任意のコードを任意のユーザとして実行できるセキュリティ上の問題があることがCVE-2013-3632として公開された。しかしその詳細は公開されていない。セキュリティパッチの提供などのタイミング以降で詳細情報が公開されるものとみられる。
CVE-2013-3632は公開されていないが、問題の概要はいくつかのサイトに掲載されている。「CVE-2013-3632 ≈ Packet Storm」などに掲載されている説明によれば、OpenMediaVaultでは認証されたユーザはcronにジョブを登録することができるが、このジョブを任意のユーザとして実行させることができるという。この機能を悪用すると任意のコマンドを任意のユーザ権限で実行させることができる。任意のユーザには特権ユーザであるrootも含まれる。
OpenMediaVaultはDebianベースで開発されているNASソリューション。OpenMediaVaultはもともとFreeNASの開発を手がけていたが、ベースとなるオペレーティングシステムをDebianへ変更するとしてスピンアウトしOpenMediaVaultとなった。FreeNASはFreeBSDベースのNASソリューション。
