The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Критическая уязвимость в Majordomo"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в Majordomo"  +/
Сообщение от opennews (??) on 03-Фев-11, 23:44 
В популярной системе организации почтовых рассылок Majordomo 2 (http://www.mj2.org/) обнаружена критическая уязвимость (https://sitewat.ch/en/Advisory/View/1), позволяющая получить доступ к системным файлам из-за отсутствия экранирования символов обратного обхода директорий ("..") в функции "_list_file_get()", используемой для выполнения некоторых команд. Проблема устранена в экспериментальном снапшоте Majordomo 20110130 (http://ftp.mj2.org/pub/mj2/snapshots/) (Majordomo уже почти не поддерживается, поэтому релиза в обозримом будущем ждать не стоит). Наличие уязвимости обнаружили (https://bugzilla.mozilla.org/show_bug.cgi?id=628064) разработчики проекта Mozilla, в процессе миграции с Majordomo на систему MailMan (http://www.gnu.org/software/mailman/index.html).

Например, для просмотра файла /etc/passwd достаточно отправить по email команду "help ../../../../../../../../../../../../../etc/passwd". Для эксплуатации уязвимости через web-интерфейс можно использовать запрос "http://lo...

URL: http://secunia.com/advisories/43125/
Новость: http://www.opennet.dev/opennews/art.shtml?num=29487

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Критическая уязвимость в Majordomo"  +2 +/
Сообщение от name (??) on 03-Фев-11, 23:44 
прекрасно...
неужели это раньше никто не обнаружил
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Критическая уязвимость в Majordomo"  +/
Сообщение от Mikula on 04-Фев-11, 10:24 
По ньюсу это mj2, а не majordomo.....
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру