Уязвимость утечки информации обнаружена в Majordomo – PERL сценарии для управления списками рассылок. Уязвимость позволяет удаленному атакующему получить полный список подписчиков. 

Все подписчики могут быть извлечены из листа рассылки, если в файле конфигурации
опция which_access установлена как open. Любой пользователь, даже не являющийся подписчиком системы, может послать запрос вида “which @” или “ which .”. который раскроет всех подписчиков с установленной опцией ‘which_access’=»open». Пример: 

>>>> which @
The string ‘@’ appears in the following
entries in lists served by majordomo@somedomain.com:

List Address
==== =======
test-list user@somedomain.com
test-list anotheruser@anotherdomain.com
another-list satan@evilmajordomodomain.net
another-list bush@sopranos.org
etc…

Уязвимость обнаружена в Majordomo version 1.94.5-2.0.



Оставить мнение