Mailinglisten-Software Majordomo verrät Dateiinhalte

Durch eine Directory-Traversal-Schwachstelle lassen sich Inhalte von Dateien auf dem Server anzeigen. Die Lücke lässt sich sogar per Mail ausnutzen.

In Pocket speichern vorlesen Druckansicht 16 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Durch einen Fehler bei der Auswertung von Pfadnamen ist es möglich, sich mit Hilfe des Help-Befehls beliebige Dateien auf einem Mailinglisten-System mit Majordomo2 anzeigen zu lassen. Die Lücke lässt sich sowohl über das Webinterface als auch über das E-Mail-Interface von Majordomo2 ausnutzen. Dem Fehlerbericht zufolge genügt es etwa, eine Mail mit dem Inhalt help ../../../../../../../../../../../../../etc/passwd an den Majordomo-Account zu senden, um als Antwort den Inhalt der Datei /etc/passwd zu erhalten. Ab der Snapshot Version majordomo-20110125 ist der Fehler behoben.

Der Fehler wurde ursprünglich in der Bugzilla-Datenbank der Mozilla Foundation diskutiert, wobei sich interressante Einblicke eröffnen. Auch Mozilla nutzt offenbar das in Perl geschriebene Tool Majordomo. Zwar strebt man einen Wechsel auf das moderne Mailing-Listen-Tool Mailman an, allerdings scheut man wohl aufgrund des Konvertierungsaufwands der Archive, das Projekt anzugehen.

Ein schneller Wechsel weg von Majordomo empfiehlt sich nun umso mehr, denn das Projekt wird nicht mehr aktiv gepflegt. Eine Mail an den offiziellen Maintainer von Majordomo kam mit einer Fehlermeldung zurück; die (ehemaligen) Entwickler sollen seit Jahren nicht mehr in Kontakt miteinander stehen. Glücklicherweise reagierte Jason Tibbitts, der nach eigenen Angaben noch den CVS-Server und die Mailingliste von Majordomo betreut, auf die Hinweise. Er beseitige auch den Fehler. Nach seinen Angaben gab es ohnehin nie offizielle Releases, sondern immer nur Snapshots und das Repository.

In der Diskussion wird die Frage aufgeworfen, ob die Entdeckung des Fehlers im Rahmen des erweiterten Bug-Bounty-Programms eine Prämie wert sei. Immerhin sei es eine Lücke in der Mozilla-Infrastruktur. Die Mozilla Foundation hatte Mitte Dezember 2010 ihr Prämienprogramm zur Suche nach Sicherheitslücken auf Webanwendungen ausgedehnt, dazu gehört auch der Server unter bugzilla.mozilla.org. (dab)