--- Begin Message ---
-----BEGIN PGP SIGNED MESSAGE-----
-------------------------------------------------------------------
Hispasec - una-al-día 9/02/2003
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------
Revelación de información en Majordomo
--------------------------------------
Existe una vulnerabilidad en Majordomo que permite la obtención de los
suscriptores de las listas de correo, incluso cuando por configuración
no se permite realizar esta operación.
Majordomo es un programa para la administración de las listas de
discusión que realiza las tareas de administración (alta y baja de
suscriptores de la lista), así como el envío de los mensajes y los
parámetros de distribución de los mensajes: listas moderadas,
distribución de mensajes en modalidad digest, etc.
Hasta hace relativamente poco tiempo era el software de listas de correo
más popular en los entornos Unix, pero últimamente está siendo
sustituido por otros programas más modernos que, por ejemplo, permite al
usuario administrar las suscripciones a través de una interfaz web. No
obstante, existen todavía múltiples listas de distribución que son
controladas por Majordomo.
Por defecto, Majordomo permite a cualquier persona obtener la lista de
direcciones suscritas a la lista enviando un mensaje con la orden "WHO
[nombre_lista]" a Majordomo. No obstante, para proteger la privacidad de
los suscriptores y evitar la recolección de direcciones para el envío de
spam, generalmente en la configuración de la lista se restringe el
acceso a esta relación a los suscriptores de la lista o, más
habitualmente, a únicamente el administrador.
Se ha descubierto la existencia de una vulnerabilidad que puede ser
utilizada para obtener la relación de suscriptores, incluso cuando por
configuración se ha deshabilitado la orden WHO.
Si en la configuración de la lista se mantiene la posibilidad de
utilizar la orden "WHICH" (y por defecto, esta opción está activa)
cualquier persona puede obtener la relación de suscriptores en las
diversas listas existentes enviando un mensaje que contenga cualquiera
de estas dos órdenes:
which en
which .
Para hacer uso de esta vulnerabilidad no es preciso estar suscrito a
ninguna de las listas existentes en el servidor atacado. Esta
vulnerabilidad afecta a todas las versiones existentes de Majordomo,
incluyendo las versiones alpha de Majordomo 2.
Para evitar el robo de la lista de suscriptores, aconsejamos revisar la
configuración de todas las listas y en aquellas donde esté habilitada la
orden WHICH, ésta debería deshabilitarse. Alternativamente, se ha
publicado un parche para el código fuente de Majordomo 1.9.5:
- --- majordomo.orig Mon Feb 3 13:23:45 2003
+++ majordomo Mon Feb 3 13:23:23 2003
en en -624,6 +624,11 en en
sub do_which {
local($subscriber) = join(" ", en _) || &valid_addr($reply_to);
+ if ($subscriber !~
/^[0-9a-zA-Z\.\-\_]+\ en [0-9a-zA-Z\.\-]+\.[a-zA-Z]{2,3}$/) {
+
+ &log("which abuse -> $subscriber passed as an argument.");
+ exit(0);
+ };
local($count, $per_list_hits) = 0;
# Tell the requestor which lists they are on by reading through all
# the lists, comparing their address to each address from each list
Una vez aplicado este parche, Majordomo ignorará cualquier orden WHICH
que no contenga como parámetro una dirección de correo electrónico.
(WHICH se utiliza para determinar las listas de correo a las en las que
está suscrita una dirección de correo electrónico).
Los usuarios de Majordomo 2 deberán obtener la última versión disponible
en el servidor CVS.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=1568
Más información:
Majordomo
http://www.greatcircle.com/majordomo
Majordomo info leakage (mailing list exposute), all versions
http://www.securitybugware.org/mUNIXes/5971.html
Majordomo Mailing List Default Configuration Discloses List E-mail
Addresses to Remote Users
http://www.securitytracker.com/alerts/2003/Feb/1006040.html
Majordomo Disclosure of Subscribed Email Addresses
http://www.secunia.com/advisories/8010/
Xavier Caballé
xavi en hispasec.com
Tal día como hoy:
-----------------
09/02/2002: Manipulación de atributos en OpenLDAP
http://www.hispasec.com/unaaldia.asp?id=1203
09/02/2001: Hispasec inaugura su nuevo servicio de detección de virus on-line
http://www.hispasec.com/unaaldia.asp?id=838
09/02/2000: ¿Voto electrónico a la vuelta de la esquina?
http://www.hispasec.com/unaaldia.asp?id=470
09/02/1999: La instalación de BackOffice compromete la seguridad
http://www.hispasec.com/unaaldia.asp?id=105
-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/email.asp
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request en hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request en hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2003 Hispasec http://www.hispasec.com/copyright.asp
-------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.2
iQCVAwUBPkbgletaAupcB1VZAQHNHAP/b7ntEuBIk54N9twF7xrx3qWdu8JRvBxH
ZCGPfXlPASoCUClaNpJdStYE33k9rl9eRRYCx/nWEtxx57Csh1Kn/vd3iF9ETl/G
vKJuEoR/N1nJbqPGtN3DLIb2SMxt3bzvjsasfaIlJpCmygoOOmxOVjpckoMGqgZm
TKfwjHiY2dA=
=Catv
-----END PGP SIGNATURE-----
_______________________________________________
Linux_party mailing list
Linux_party en listas.hispalinux.es
http://listas.hispalinux.es/mailman/listinfo/linux_party
--- End Message ---