Einbruch in Sicherheits-Mailingliste durch Lücke in Listensoftware Mailman
Mehrere Accounts der Sicherheits-Mailingliste Full Disclosure wurden nach Angaben des Betreibers John Cartwright kompromittiert. Ursache ist ein bislang unbekannter Fehler bei der Filterung von URLs, mit der Zugriffe auf Datenbankdateien möglich sind.
Mehrere Accounts der Sicherheits-Mailingliste Full Disclosure wurden nach Angaben des Betreibers John Cartwright kompromittiert. Ersten Untersuchungen zufolge gelang es unbekannten Angreifern durch eine bislang unveröffentlichte Sicherheitslücke in der Mailing-Software Mailman 2.1.5 die Datenbank zu kopieren und Nutzernamen, E-Mail-Adressen und Passwörter auszulesen.
Der Fehler beruht auf einem Pfad-Traversal im Modul private.py von Mailman. Durch Angabe von "../....///" in einer URL ist der Zugriff auf beliebige Mailman-Dateien möglich. Allerdings lässt sich der Fehler nur auf Webservern ausnutzen, die nicht von selbst überflüssige Slashes ("/") ausfiltern, wie etwa Apache 1.3.x.
Cartwright empfiehlt allen Mitglieder der Liste, ihre Passwörter zu wechseln. Im Advisory ist ein Patch veröffentlicht, um das Problem mit Mailman zu beheben. Bislang hat nur der Linux-Distributor Ubuntu neue Pakete veröffentlicht. Die anderen Hersteller werden sicherlich in Kürze folgen.
Siehe dazu auch: (dab)
- List Compromised due to Mailman Vulnerability von John Cartwright
- USN-78-1: Mailman vulnerability von Ubuntu
