Раскрытие списка подписчиков в Majordomo

Дата публикации:
05.02.2003
Дата изменения:
16.10.2006
Всего просмотров:
758
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Majordomo
Описание: Уязвимость утечки информации обнаружена в Majordomo – PERL сценарии для управления списками рассылок. Уязвимость позволяет удаленному атакующему получить полный список подписчиков.

Все подписчики могут быть извлечены из листа рассылки, если установлена опция 'which_access' к "open" в файле конфигурации (по умолчанию). Любой пользователь, даже не являющийся подписчиком системы, может послать запрос вида “which @” или “ which .”. который раскроет всех подписчиков, с установленной опцией 'which_access'="open". Пример:

>>>> which @
The string '@' appears in the following
entries in lists served by majordomo@somedomain.com:

 List                    Address
 ====                    =======
 test-list               user@somedomain.com
 test-list               anotheruser@anotherdomain.com
 another-list            satan@evilmajordomodomain.net
 another-list            bush@sopranos.org
etc...
Уязвимость обнаружена в Majordomo version 1.94.5-2.0

Ссылки: Majordomo Found to Leak Information
или введите имя

CAPTCHA