[eside-ghost] FW: una-al-dia (22/02/2005) Grave problema de
seguridad en "mailman"
Alayn Gortazar
Alayn.Gortazar en esi.es
Vie Feb 25 14:16:54 CET 2005
Chicos de sistemas (Split??) a actualizarse toca!!!!
-----Original Message-----
From: noticias a bildua hispasec.com [mailto:noticias a bildua hispasec.com]
Sent: martes, 22 de febrero de 2005 23:40
To: unaaldia a bildua hispasec.com
Subject: una-al-dia (22/02/2005) Grave problema de seguridad en "mailman"
----------------------------SPOT--------------------------
SERVICIOS DE SEGURIDAD INFORMATICA DE HISPASEC SISTEMAS
Hispasec Sistemas ofrece sus servicios de auditorias de seguridad, consultoría, formación, Servicio de Análisis Notificación y Alertas (SANA).
Más información: http://www.hispasec.com/ Folleto en formato PDF:
http://www.hispasec.com/directorio/hispasec/hispasec_sistemas.pdf
info a bildua hispasec.com Telf. 902 161 025
----------------------------SPOT--------------------------
-----BEGIN PGP SIGNED MESSAGE-----
-------------------------------------------------------------------
Hispasec - una-al-día 22/02/2005
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------
Grave problema de seguridad en "mailman"
----------------------------------------
La versión actual de "mailman" contiene un grave problema de seguridad que permite que cualquier suscriptor de cualquier lista de correo pueda acceder a archivos arbitrarios en el servidor que hospede el servicio "mailman".
Mailman es un gestor de listas de distribución por correo electrónico muy popular. Programado en Python, está sustituyendo rápidamente a los viejos entornos "majordomo", por su interfaz gráfica, su buen nivel de integración de funciones y fácil modificación.
La versión actual de "mailman" contiene una vulnerabilidad que permite que cualquier suscriptor de una lista de correo pueda leer cualquier fichero del sistema, accesible al usuario "mailman" o "apache".
La vulnerabilidad afecta a las versiones 2.1 de "mailman", incluyendo la actual, 2.1.5. Los desarrolladores de "mailman" han publicado la versión 2.1.6b4, que soluciona este problema, pero es aún una versión "beta".
Para aquellos que no quieran actualizar a la versión 2.1.6b4, experimental, se pueden aplicar las siguientes soluciones:
* Eliminar el fichero "mailman/cgi-bin/private". Hacer esto, no obstante, impedirá que los usuarios puedan acceder a los archivos de una lista de correo, si son privados.
* Se puede aplicar el siguiente parche a la versión 2.1.5:
Index: private.py
===================================================================
RCS file: /cvsroot/mailman/mailman/Mailman/Cgi/private.py,v
retrieving revision 2.16.2.1
diff -u -r2.16.2.1 private.py
--- private.py 8 Feb 2003 07:13:50 -0000 2.16.2.1
+++ private.py 10 Feb 2005 03:34:21 -0000
@@ -1,4 +1,4 @@
-# Copyright (C) 1998-2003 by the Free Software Foundation, Inc.
+# Copyright (C) 1998-2005 by the Free Software Foundation, Inc.
#
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
@@ -35,13 +35,17 @@
_ = i18n._
i18n.set_language(mm_cfg.DEFAULT_SERVER_LANGUAGE)
+SLASH = '/'
+
def true_path(path):
"Ensure that the path is safe by removing .."
- path = path.replace('../', '')
- path = path.replace('./', '')
- return path[1:]
+ parts = path.split(SLASH)
+ safe = [x for x in parts if x not in ('.', '..')]
+ if parts <> safe:
+ syslog('mischief', 'Directory traversal attack thwarted')
+ return SLASH.join(safe)[1:]
Se siga la vía que se siga, Hispasec recomienda a los administradores de sistemas "mailman" que actualicen a la versión 2.1.6 en cuanto esté disponible.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2313/comentar
Más Información:
Mailman security issues
http://www.list.org/security.html
Parche para "mailman" 2.1.5
http://www.list.org/CAN-2005-0202.txt
Mailman, the GNU Mailing List Manager
http://www.list.org/
Jesús Cea Avión
jcea a bildua hispasec.com
Tal día como hoy:
-----------------
22/02/2004: Nuevo intento de estafa a los usuarios del Banco Popular
http://www.hispasec.com/unaaldia/1946
22/02/2003: Interceptación de contraseñas en canales SSL/TLS
http://www.hispasec.com/unaaldia/1581
22/02/2002: Ataque de denegación de servicio sobre SQUID
http://www.hispasec.com/unaaldia/1216
22/02/2001: Recuperación de clave de sesión en SSH-1
http://www.hispasec.com/unaaldia/851
22/02/2000: Cuartango demuestra que Microsoft puede instalar programas sin avisar
http://www.hispasec.com/unaaldia/483
22/02/1999: La versión internacional de PGP 6.0.2i ya está disponible
http://www.hispasec.com/unaaldia/118
-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/contacto
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request a bildua hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request a bildua hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2005 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBQhuwo3hEfcD7VnHhAQHB7gf/WfOLY/NcChFLrMY1ZSMAhC50mtl4QDK5
5LmU/gaH/gpBLBg/KpNyHhaTOaVkiM+ECYOldQrUAta/YOFef+H9Z5sMrYJngAVj
gx1MAvlaXvCzgynGvg9V7nJRSzkz5ClHkaKwklujJDnp4yVWizJH4it+aIa4Y7PA
X3FIoH8Ee5StI/XdNL2ioQnQ3R87yA+y+iFgGa+zfO3UupSAhTL6MSkvODS+8K95
tO0j6KDa4ZEEaYJ2cwIUFuVLK6jlYNXOXA/VLCGj16PIeplwxqiwZibWi0cyyn5o
aUuQUXI+eagdrhZ8A9GuC2LAFTUuQFUKcyOLfZBBqh0+fDytblBrig==
=7Y0H
-----END PGP SIGNATURE-----
********************************** DISCLAIMER *******************************
This message may contain confidential, proprietary or legally privileged information.
If you are not the intended recipient of this message, please notify it to the sender and delete without resending or backing it, as it is legally prohibited.
********************************** AVISO LEGAL ******************************
Este mensaje puede contener información confidencial, en propiedad o legalmente protegida.
Si usted no es el destinatario, le rogamos lo comunique al remitente y proceda a borrarlo, sin reenviarlo ni conservarlo, ya que su uso no autorizado está prohibido legalmente.
******************************************************************************
Más información sobre la lista de distribución eside-ghost