The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

03.02.2011 23:10  Критическая уязвимость в Majordomo

В популярной системе организации почтовых рассылок Majordomo 2 обнаружена критическая уязвимость, позволяющая получить доступ к системным файлам из-за отсутствия экранирования символов обратного обхода директорий ("..") в функции "_list_file_get()", используемой для выполнения некоторых команд. Проблема устранена в экспериментальном снапшоте Majordomo 20110130 (Majordomo уже почти не поддерживается, поэтому релиза в обозримом будущем ждать не стоит). Наличие уязвимости обнаружили разработчики проекта Mozilla, в процессе миграции с Majordomo на систему MailMan.

Например, для просмотра файла /etc/passwd достаточно отправить по email команду "help ../../../../../../../../../../../../../etc/passwd". Для эксплуатации уязвимости через web-интерфейс можно использовать запрос "http://localhost/cgi-bin/mj_wwwusr?passw=&list=GLOBAL&user=&func=help&extra=/../../../../../../../../etc/passwd".

  1. Главная ссылка к новости (http://secunia.com/advisories/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: Majordomo, maillist, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение RSS
 
  • 1, name, 23:44, 03/02/2011 [ответить] [смотреть все]
  • +2 +/
    прекрасно...
    неужели это раньше никто не обнаружил
     
     
  • 4, Mikula, 10:24, 04/02/2011 [^] [ответить] [смотреть все]
  • +/
    По ньюсу это mj2, а не majordomo.....
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor