 |
|
A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos |
 | Vulnerabilidade no GNU/Mailman expõe senha dos assinantesAlerta do CAIS ALR-28052004 [CAIS, 28.05.2004-09:59, revisão 01] O CAIS alerta que versões anteriores a 2.1.5 do GNU/Mailman, um gerenciador de listas de discussão amplamente utilizado, possuem uma vulnerabilidade que permite que um assinante de uma dada lista gerenciada por este sistema recupere a senha de qualquer outro assinante através de comandos enviados por e-mail. Uma mensagem enviada para nomedalista-request@example.net contendo as linhas: password address=$assinante_vitima retornará as senhas tanto do assinante-vítima quanto do assinante-atacante. Uma das implicações mais críticas desta e de outras vulnerabilidades que expõem senhas está em se descobrir a senha de um usuário e confrontá-la contra outros sistemas. Num caso extremo em que o usuário atacado utilize sempre a mesma senha isto pouparia trabalho de um atacante, uma vez que ataques de engenharia social ou ferramentas de quebra de senha por força bruta, por exemplo, nao seriam necessários. Sistemas afetados:
Correções disponíveis: Recomenda-se atualizar a versão do GNU/Mailman para a última oferecida por sua distribuição. Se sua distribuição ainda não tiver disbonibilizado a versão 2.1.5 do GNU/Mailman ela pode ser obtida em: Mais informações: Identificador CVE: CAN-2004-0412 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. O CAIS ainda recomenda, especificamente neste caso, que:
Mailman-announce -- Announce-only list for Mailman releases and news
|  Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS
Contato com o Cais: +55 (19) 3787-3300 |
