Раскрытие списка подписчиков в Majordomo
| Дата публикации: | 05.02.2003 |
| Дата изменения: | 16.10.2006 |
| Всего просмотров: | 1113 |
| Опасность: | Низкая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Раскрытие важных данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Majordomo |
| Описание: |
Уязвимость утечки информации обнаружена в Majordomo – PERL сценарии для управления списками рассылок. Уязвимость позволяет удаленному атакующему получить полный список подписчиков. Все подписчики могут быть извлечены из листа рассылки, если установлена опция 'which_access' к "open" в файле конфигурации (по умолчанию). Любой пользователь, даже не являющийся подписчиком системы, может послать запрос вида “which @” или “ which .”. который раскроет всех подписчиков, с установленной опцией 'which_access'="open". Пример: >>>> which @ The string '@' appears in the following entries in lists served by majordomo@somedomain.com: List Address ==== ======= test-list user@somedomain.com test-list anotheruser@anotherdomain.com another-list satan@evilmajordomodomain.net another-list bush@sopranos.org etc...Уязвимость обнаружена в Majordomo version 1.94.5-2.0 |
| Ссылки: | Majordomo Found to Leak Information |