Una vulnerabilidad encontrada en majordomo, el conocido gestor de
listas de correo para entornos Linux, ha provocado que Debian retire
este programa de su distribución.
El paquete majordomo se distribuye dentro de la distribución Debian
GNU/Linux 2.1/slink y permite que cualquier usuario local emplear
majordomo para ejecutar código arbitrario o crear o escribir archivos
como un usuario de majordomo en cualquier lugar del sistema de
archivos.
El problema está perfectamente documentado, y las soluciones
recomendadas pasan por no permitir a usuarios en los que no se confíe
la ejecución de majordomo o bien emplear un setuid que el agente de
reparto pueda ejecutar.
Según Debian estos remedios no son suficientes. Pero como la licencia
del programa imposibilita arreglar el problema y distribuir una
versión reparada, Debian ha decidido eliminar majordomo de su
distribución y recomienda a los usuarios el uso de otras utilidades de
mantenimiento de listas de correo como fml, mailman o smartlist.
Más información:
Debian
Aviso de seguridad de Debian
antonior@hispasec.com
Deja una respuesta