Tietoturva

Mailman-postiohjelma vuotaa salasanoja

Julkaistu:

Suositussa Mailman-postiohjelmassa on havaittu haavoittuvuus, jonka kautta ulkopuoliset ovat jo varastaneet salasanoja. Haavoittuvuus koskee versioita 2.1.5:een saakka.
Varkaus koetteli Full-Disclosure -nimistä keskustelupalstaa, jonka sivulla haavoittuvuus tuotiin myös julkisuuteen.

Krakkerihyökkäys tapahtui Full Disclosuren ylläpitäjän John Cartwrightin mukaan tammikuun toisena päivänä. Kysymyksessä oli remote directory traversal exploit-tyyppinen hyökkäys.

Haavoittuvuus voi osoittautua hankalaksi, sillä eräät postilistaa käyttävät salasanaansa myöhemmin uudelleen muualla. Avoimeen koodiin perustuvassa Mailman-ohjelmassa sähköpostiosoite on sama kuin käyttäjätunnus.

Mailmanin turvasivuilla on selostus haavoittuvuudesta, mutta ei vielä tarkkaa tietoa siitä, mitkä käyttöjärjestelmät ovat haavoittuvia. Todennäköisesti Apache 2.0:aa käyttävät palvelimet ovat suojattuja aukolta. Full Disclosuren palvelin käyttää Apache 1.3:a.

Mailmanin turvavaroitus

Kommentit

    Näytä lisää