symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Einbruch in Full-Disclosure-Liste: Schwachstelle in Mailman [3. Update]
Veröffentlicht durch XTaran am Mittwoch 09. Februar 2005, 20:42
Aus der Kreatives-Path-Traversal Abteilung
Security maol wies mich gerade darauf hin, daß Anfang Januar die Mailman-Datenbank der Sicherheitsliste Full-Disclosure mit allen ihren Paßwörtern und E-Mail-Adressen über eine bisher unbekannte und gut versteckte Path-Traversal-Schwachstelle (Patch enthalten, CVE-ID: CAN-2005-0202) in (zumindest) Mailman 2.1.5 entwendet wurde. Nebenbei hat der Moderator von Full-Disclosure und Besitzer von Netsys.com gewechselt: Len Rose zieht sich zurück und will anscheinend Lamas züchten. (Dem bisherigen Anschein nach haben die beiden Ereignisse interessanterweise nichts miteinander zu tun. :-)

Update 21:51 Uhr: Es sind auch frühere Versionen des Mailmans (z.B. 2.0.x) betroffen. Allerdings eignet sich der Patch nur für Python-2-Installationen. Für auf Python 1 basierende Mailman-Installationen ist die verwendete Syntax des Patches zu neu.

Update 10.02., 16:23 Uhr: Gerade eben ist das offizielle Security Update von Barry Warsaw angekommen. Der offizielle Patch sieht im Gegensatz zum bisherigen Vorab-Patch auch noch einen Syslog-Eintrag bei einem versuchten Path-Traversal-Angriff vor. Weiter wird als schnellen Workaround das Löschen des betroffenen CGI-Skripts (private.py*) empfohlen, was allerdings dann paßwortgeschützte Archive unlesbar macht.

Außerdem gibt es bereits auch aktualisierte Pakete von Ubuntu (USN-78-1).

Update 11.02., 09:13 Uhr: Auf der Liste Mailman-Users ist nun auch ein (inoffizieller, aber helfender) Patch für Python 1 aufgetaucht. Weiter sind Update-Pakete von RedHat und Debian erschienen.

iPod-Shuffle-RAID | Druckausgabe | FreeBSD: Wettbewerb für neues Logo  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Debian
  • Full Disclosure
  • maol
  • Python
  • RedHat
  • maol
  • Path-Traversal-Schwachstelle
  • CAN-2005-0202
  • Mailman
  • entwendet
  • Len Rose zieht sich zurück
  • Lamas züchten
  • offizielle Security Update
  • offizielle Patch
  • USN-78-1
  • Patch für Python 1
  • Mehr zu Security
  • Auch von XTaran
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen