Revelación de información en Majordomo


Existe una vulnerabilidad en Majordomo que permite la obtención de los suscriptores de las listas de correo, incluso cuando por configuración no se permite realizar esta operación.





Majordomo es un programa para la administración de las listas de discusión que realiza las tareas de administración (alta y baja de suscriptores de la lista), así como el envío de los mensajes y los parámetros de distribución de los mensajes: listas moderadas, distribución de mensajes en modalidad digest, etc.

Hasta hace relativamente poco tiempo era el software de listas de correo más popular en los entornos Unix, pero últimamente está siendo sustituido por otros programas más modernos que, por ejemplo, permite al usuario administrar las suscripciones a través de una interfaz web. No obstante, existen todavía múltiples listas de distribución que son controladas por Majordomo.

Por defecto, Majordomo permite a cualquier persona obtener la lista de direcciones suscritas a la lista enviando un mensaje con la orden "WHO [nombre_lista]" a Majordomo. No obstante, para proteger la privacidad de los suscriptores y evitar la recolección de direcciones para el envío de spam, generalmente en la configuración de la lista se restringe el acceso a esta relación a los suscriptores de la lista o, más habitualmente, a únicamente el administrador.

Se ha descubierto la existencia de una vulnerabilidad que puede ser utilizada para obtener la relación de suscriptores, incluso cuando por configuración se ha deshabilitado la orden WHO.

Si en la configuración de la lista se mantiene la posibilidad de utilizar la orden "WHICH" (y por defecto, esta opción está activa) cualquier persona puede obtener la relación de suscriptores en las diversas listas existentes enviando un mensaje que contenga cualquiera de estas dos órdenes:

which @
which .

Para hacer uso de esta vulnerabilidad no es preciso estar suscrito a ninguna de las listas existentes en el servidor atacado. Esta vulnerabilidad afecta a todas las versiones existentes de Majordomo, incluyendo las versiones alpha de Majordomo 2.

Para evitar el robo de la lista de suscriptores, aconsejamos revisar la configuración de todas las listas y en aquellas donde esté habilitada la orden WHICH, ésta debería deshabilitarse. Alternativamente, se ha publicado un parche para el código fuente de Majordomo 1.9.5:


--- majordomo.orig Mon Feb 3 13:23:45 2003
+++ majordomo Mon Feb 3 13:23:23 2003
@@ -624,6 +624,11 @@

sub do_which {
local($subscriber) = join(" ", @_) ││ &valid_addr($reply_to);
+ if ($subscriber !~
/^[0-9a-zA-Z.-_]+@[0-9a-zA-Z.-]+.[a-zA-Z]{2,3}$/) {
+
+ &log("which abuse -> $subscriber passed as an argument.");
+ exit(0);
+ };
local($count, $per_list_hits) = 0;
# Tell the requestor which lists they are on by reading through all
# the lists, comparing their address to each address from each list

Una vez aplicado este parche, Majordomo ignorará cualquier orden WHICH que no contenga como parámetro una dirección de correo electrónico. (WHICH se utiliza para determinar las listas de correo a las en las que está suscrita una dirección de correo electrónico).

Los usuarios de Majordomo 2 deberán obtener la última versión disponible en el servidor CVS.

Más información:

Majordomo
http://www.greatcircle.com/majordomo

Majordomo info leakage (mailing list exposute), all versions
http://www.securitybugware.org/mUNIXes/5971.html

Majordomo Mailing List Default Configuration Discloses List E-mail Addresses to Remote Users
http://www.securitytracker.com/alerts/2003/Feb/1006040.html

Majordomo Disclosure of Subscribed Email Addresses
http://www.secunia.com/advisories/8010/

Fuente: Hispasec

Otras noticias de interés:

Dos nuevas vulnerabilidades en el cortafuegos PIX de Cisco
Se han descubierto recientemente dos nuevas vulnerabilidades en el cortafuegos PIX de Cisco. La primera de ellas puede permitir a un usuario remoto establecer, en circunstancias muy concretas, una sesión VPN no autorizada. La segunda vulnerabilidad ...
Las llaves USB, un riesgo de seguridad
Aunque los robos de portátiles están muy de moda, deberías estar atento a tu llave USB, un dispositivo que cada vez almacena más datos y que puede convertirse en un verdadero quebradero de cabeza si se pierde o nos lo roban....
El delito informático evoluciona muy rápido
Pocos son los ciudadanos que reparan en ello, pero las formas de delito y su comisión se multiplican a través de Internet. Aunque con años de retraso, la Justicia ha comenzado a poner remedio con el nombramiento de fiscales especializados en delin...
Ubuntu es más seguro que Mac y Windows
Los sistemas operativos Leopard y Microsoft Vista no resisten los ataques de los hackers en un concurso para encontrar errores informáticos ...
Windows 7 podría bloquear programas y contenido pirata
Según informan distintos blogs tecnológicos, Windows 7 tiene la capacidad para bloquear programas piratas....
Los virus más reportados en VSAntivirus (junio 2003)
VS Antivirus indica que este mes, el Bugbear.B ha desbancado al Klez de nuestras estadísticas. Y por cierto hay razones para que se haya extendido tanto, lo que no quiere decir que las justifiquemos. ...
Yahoo lanzó la versión 5.0 de Yahoo! Messenger
Yahoo presentó la nueva versión de su aplicación de mensajería instantánea, Yahoo! Messenger 5.0. La misma, disponible también en castellano, se puede descargar de forma gratuita a través del portal....
Actualización de seguridad para Adobe Flash Player
Adobe ha publicado una actualización de seguridad destinada a corregir una vulnerabilidad importante en Adobe Flash Player versión 10.3.181.16 y anteriores para Windows, Macintosh, Linux y Solaris, y Adobe Flash Player 10.3.185.22 y versiones anter...
Prohibido Prohibir
Diego Saravia escribió un excelente artículo sobre la no prohibición en el uso de software....
Vulnerabilidad de los accesos directos en Windows
Miscrosoft publicó hace unos días un boletín de seguridad donde se advierte la existencia de una vulnerabilidad de Windows que está siendo aprovechada para infectar. El problema afecta a los accesos directos (archivos .lnk) y la forma en que Wind...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informacion
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • majordomo
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • revelacion
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra