Security Lab

Раскрытие списка подписчиков в Majordomo

Дата публикации:05.02.2003
Дата изменения:16.10.2006
Всего просмотров:979
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Majordomo
Описание: Уязвимость утечки информации обнаружена в Majordomo – PERL сценарии для управления списками рассылок. Уязвимость позволяет удаленному атакующему получить полный список подписчиков.

Все подписчики могут быть извлечены из листа рассылки, если установлена опция 'which_access' к "open" в файле конфигурации (по умолчанию). Любой пользователь, даже не являющийся подписчиком системы, может послать запрос вида “which @” или “ which .”. который раскроет всех подписчиков, с установленной опцией 'which_access'="open". Пример:

>>>> which @
The string '@' appears in the following
entries in lists served by majordomo@somedomain.com:

 List                    Address
 ====                    =======
 test-list               user@somedomain.com
 test-list               anotheruser@anotherdomain.com
 another-list            satan@evilmajordomodomain.net
 another-list            bush@sopranos.org
etc...
Уязвимость обнаружена в Majordomo version 1.94.5-2.0
Ссылки: Majordomo Found to Leak Information