Detalji

Prilikom upotrebe programskog paketa Mailman uočene su višestruke sigurnosne ranjivosti. Radi se o jednom od najpopularnijih programa otvorenoga koda koji služi za upravljanje distribucijskim (eng. mailing) listama. Ranjivosti se javljaju kao posljedica neispravne provjere ulaznih podataka predanih preko parametra "full name" određenim stranicama. Zlonamjerni napadači navedene propuste mogu iskoristiti za umetanje proizvoljnog HTML ili skriptnog koda. Budući da je dostupna odgovarajuća nadogradnja, svim se korisnicima savjetuje njezina primjena.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2010-02-013
Naslov: Vise propusta programskog paketa Mailman
Datum: 2010-02-25
OS: Windows, UNIX/Linux
Programski paket: Mailman
Tip sigurnosnog problema: pokretanje proizvoljnog HTML ili skriptnog koda
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

U radu programskog paketa Mailman uoceno je vise sigurnosnih nedostataka. Mailman je vrlo popularan paket otvorenog koda za upravljanje distribucijskim listama. Podržava arhiviranje, filtriranje sadržaja, periodiènu dostavu, spam filtere itd. 

Neke od bitnijih karakteristika su:

- web sucelje u kojem je moguce napraviti sve operacije s listama, dodavati i  brisati 
  korisnike,
- svaki korisnik moze prilagoditi postavke iz odvojenog web sucelja, odjaviti se ili prijaviti na listu ili vise njih,
- distribuiran je pod GNU licencom, a napisan je u programskom jeziku PHP i dr.

Vise informacija o samom paketu moguce je pronaæi na sljedecoj web adresi:

http://www.gnu.org/software/mailman/index.html

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Sigurnosne ranjivosti, uocene u radu programskog paketa Mailman, zlonamjernim korisnicima omogucuju izvodjenje XSS napada.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima savjetuje odgovarajuca nadogradnja.  

-------------------------------------------------------------------------------

[4]  Analiza

Ulazni podaci predani preko parametra "full name" nisu ispravno provjereni prije koristenja na "Confirm unsubscription request", "Confirm change of email address request" i "Re-enable mailing list membership" stranicama. Zlonamjerni korisnici ranjivosti mogu iskoristiti za umetanje proizvoljnog HTML ili skriptnog koda koji ce se izvesti u  korisnikovom pregledniku u kontekstu doticne stranice kada korisnik gleda zlonamjerne podatke.

Ranjivosti su uocene u inacici 2.1.14, no postoji mogucnost da i ostale inacice sadrze iste ranjivosti.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o navedenim propustima otkrio je proizvodjac, a tekstovi izvorne preporuke
nalaze se na sljedecoj web adresi:

Mailman:
http://mail.python.org/pipermail/mailman-announce/2011-February/000157.html

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________

Idi na vrh