Existe una vulnerabilidad en Majordomo que permite la obtención de los
suscriptores de las listas de correo, incluso cuando por configuración
no se permite realizar esta operación.
Majordomo es un programa para la administración de las listas de
discusión que realiza las tareas de administración (alta y baja de
suscriptores de la lista), así como el envío de los mensajes y los
parámetros de distribución de los mensajes: listas moderadas,
distribución de mensajes en modalidad digest, etc.
Hasta hace relativamente poco tiempo era el software de listas de correo
más popular en los entornos Unix, pero últimamente está siendo
sustituido por otros programas más modernos que, por ejemplo, permite al
usuario administrar las suscripciones a través de una interfaz web. No
obstante, existen todavía múltiples listas de distribución que son
controladas por Majordomo.
Por defecto, Majordomo permite a cualquier persona obtener la lista de
direcciones suscritas a la lista enviando un mensaje con la orden “WHO
[nombre_lista]” a Majordomo. No obstante, para proteger la privacidad de
los suscriptores y evitar la recolección de direcciones para el envío de
spam, generalmente en la configuración de la lista se restringe el
acceso a esta relación a los suscriptores de la lista o, más
habitualmente, a únicamente el administrador.
Se ha descubierto la existencia de una vulnerabilidad que puede ser
utilizada para obtener la relación de suscriptores, incluso cuando por
configuración se ha deshabilitado la orden WHO.
Si en la configuración de la lista se mantiene la posibilidad de
utilizar la orden “WHICH” (y por defecto, esta opción está activa)
cualquier persona puede obtener la relación de suscriptores en las
diversas listas existentes enviando un mensaje que contenga cualquiera
de estas dos órdenes:
which @
which .
Para hacer uso de esta vulnerabilidad no es preciso estar suscrito a
ninguna de las listas existentes en el servidor atacado. Esta
vulnerabilidad afecta a todas las versiones existentes de Majordomo,
incluyendo las versiones alpha de Majordomo 2.
Para evitar el robo de la lista de suscriptores, aconsejamos revisar la
configuración de todas las listas y en aquellas donde esté habilitada la
orden WHICH, ésta debería deshabilitarse. Alternativamente, se ha
publicado un parche para el código fuente de Majordomo 1.9.5:
— majordomo.orig Mon Feb 3 13:23:45 2003
+++ majordomo Mon Feb 3 13:23:23 2003
@@ -624,6 +624,11 @@
sub do_which {
local($subscriber) = join(” “, @_) || &valid_addr($reply_to);
+ if ($subscriber !~
/^[0-9a-zA-Z\.\-\_]+\@[0-9a-zA-Z\.\-]+\.[a-zA-Z]{2,3}$/) {
+
+ &log(“which abuse -> $subscriber passed as an argument.”);
+ exit(0);
+ };
local($count, $per_list_hits) = 0;
# Tell the requestor which lists they are on by reading through all
# the lists, comparing their address to each address from each list
Una vez aplicado este parche, Majordomo ignorará cualquier orden WHICH
que no contenga como parámetro una dirección de correo electrónico.
(WHICH se utiliza para determinar las listas de correo a las en las que
está suscrita una dirección de correo electrónico).
Los usuarios de Majordomo 2 deberán obtener la última versión disponible
en el servidor CVS.
xavi@hispasec.com
Más información:
Majordomo
http://www.greatcircle.com/majordomo
Majordomo info leakage (mailing list exposute), all versions
http://www.securitybugware.org/mUNIXes/5971.html
Majordomo Mailing List Default Configuration Discloses List E-mail
Addresses to Remote Users
http://www.securitytracker.com/alerts/2003/Feb/1006040.html
Majordomo Disclosure of Subscribed Email Addresses
http://www.secunia.com/advisories/8010/
Deja un comentario