buy viagra
buy cialis
cheap cialis
generic viagra
05.02.2011, 10:04 Uhr

Majordomo 2: Beheben Sie unbedingt die gefährliche Directory-Traversal-Schwachstelle

Eine Sicherheitslücke in Majordomo 2, der Perl-basierten freien Verwaltung für Mailing-Listen, erlaubt das Auslesen beliebiger Dateien Ihrer Server. Durch einen Fehler bei der Verarbeitung des „Help“-Kommandos kann per Web-Zugriff oder E-Mail unter anderem die Datei „/etc/passwd“ abgerufen werden.

Wenn Sie beispielsweise die Zeichenkette „help ../../../../../../../../../../../../../etc/passwd“ an einen Server mit dieser Schwachstelle schicken, erhalten Sie als Antwort eine E-Mail mit der passwd-Datei. Bei einem Aufruf der Web-Oberfläche reicht es hingegen aus, die Parameter „func=help“ und „extra=/../../../../../../../../etc/passwd“ anzuhängen, um die Datei zu erhalten.

Zwar können Angreifer von außen nur schwer erkennen, ob auf Ihrem Server Majordomo 2 zum Einsatz kommt, jedoch ist die Schwachstelle extrem leicht auszunutzen und dadurch besonders gefährlich.

Sie schließen die Sicherheitslücke auf Ihren Servern durch ein Update auf die aktuelle Version von Majordomo 2. Ab Version „majordomo-20110125“ (im Verzeichnis „2011-01“) ist der Fehler behoben.