The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в Mailman, позволяющая определить пароль администратора почтовой рассылки

25.10.2021 12:07

Опубликован корректирующий релиз системы управления почтовыми рассылками GNU Mailman 2.1.35, используемой для организации общения разработчиков в разнообразных открытых проектах. В обновлении устранены две уязвимости: Первая уязвимость (CVE-2021-42096) позволяет любому пользователю, подписанному на рассылку, определить пароль администратора данного списка рассылки. Вторая уязвимость (CVE-2021-42097) даёт возможность совершить CSRF-атаку на другого пользователя рассылки для захвата его учётной записи. Атака может быть совершена только подписанным участником рассылки. Продукт Mailman 3 проблеме не подвержен.

Обе проблемы вызваны тем, что значение csrf_token, применяемое для защиты от CSRF-атак на странице с настройками ("options"), всегда совпадает с токеном администратора, а не формируется отдельно для пользователя текущего сеанса. При формировании csrf_token используется информация о хэше пароля администратора, что упрощает определение пароля методом перебора. Так как csrf_token, созданный для одного пользователя, подходит и другому пользователю, атакующий может сформировать страницу, при открытии которой другим пользователем можно организовать выполнение команд в интерфейсе Mailman от имени этого пользователя и получить управление его учётной записью.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Релиз системы управления списками рассылки GNU Mailman 3.1
  3. OpenNews: Debian тестирует Discourse как потенциальную замену спискам рассылки
  4. OpenNews: Закрытие старейшего списка рассылки по компьютерной безопасности BugTraq
  5. OpenNews: Управление через почтовые рассылки как барьер, мешающий приходу молодых разработчиков
  6. OpenNews: Для разработки ядра Linux введён в строй новый сервис почтовых рассылок
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56030-mailman
Ключевые слова: mailman
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (46) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:22, 25/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Сразу две уязвимости. Какая прелесть)
     
     
  • 2.3, Annnnonnnyyymous (?), 12:32, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Это говорит о том, что кто-то спустя 15 лет решил-таки наконец-то посмотреть в код этого поделия :)

    Что же будет, когда наконец-то хоть кто-то решит заглянуть в год OpenBSD :)

     
     
  • 3.4, www2 (??), 13:16, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну если бы только у тебя время было одним глазком заглянуть, то ты бы безусловно сразу нашёл эту уязвимость.
     
     
  • 4.8, Онаним (?), 14:35, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Тем не менее, теорема о Неуловимом Джо снова подтверждена.
     
  • 3.7, _hide_ (ok), 14:35, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >>> заглянуть в год OpenBSD

    Описка по Фрейду, заглянуть в код OpenBSD, значит годик посмотреть. Сложно представить, как будет звучать в этом случае "провести аудит"...

     
     
  • 4.10, QwertyReg (ok), 14:49, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Годик потерять.
     
     
  • 5.63, Аноним (63), 14:34, 26/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Почему потерять? Вам за это деньги заплатят или Вы добровольно решили работать бесплатно?
     
  • 4.32, Аноним (32), 17:12, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А я подумал, что это литерали год опенбсд. Как день учителя, только год опенбсд.
     
     
  • 5.52, Онаним (?), 22:17, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Пока астрологи объявили только день mailman.
    Но не исключён и год опенбсд.
     
  • 2.36, Аноним (36), 18:16, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И это питон))
     

  • 1.5, Нанобот (ok), 13:47, 25/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    > почтовыми рассылками ... для организации общения разработчиков

    чуваки походу застряли в 90-х годах прошлого века

     
     
  • 2.9, QwertyReg (ok), 14:49, 25/10/2021 Скрыто модератором
  • –9 +/
     
     
  • 3.13, Аноним (13), 15:20, 25/10/2021 Скрыто модератором
  • –1 +/
     
     
  • 4.27, QwertyReg (ok), 16:21, 25/10/2021 Скрыто модератором
  • –3 +/
     
     
  • 5.30, пончик (?), 17:00, 25/10/2021 Скрыто модератором
  • +1 +/
     
  • 5.31, Аноним (31), 17:08, 25/10/2021 Скрыто модератором
  • +/
     
  • 5.40, Аноним (40), 19:17, 25/10/2021 Скрыто модератором
  • +/
     
  • 3.15, Урри (ok), 15:23, 25/10/2021 Скрыто модератором
  • +1 +/
     
     
  • 4.16, Аноним (13), 15:27, 25/10/2021 Скрыто модератором
  • +1 +/
     
     
  • 5.35, QwertyReg (ok), 18:02, 25/10/2021 Скрыто модератором
  • +/
     
     
  • 6.41, Аноним (40), 19:18, 25/10/2021 Скрыто модератором
  • +/
     
  • 6.42, Аноним (40), 19:19, 25/10/2021 Скрыто модератором
  • +/
     
  • 6.44, Котофалк (?), 19:49, 25/10/2021 Скрыто модератором
  • +/
     
  • 4.18, Тинус Лорвальдс (ok), 15:33, 25/10/2021 Скрыто модератором
  • +1 +/
     
     
  • 5.19, Аноним (13), 15:38, 25/10/2021 Скрыто модератором
  • –1 +/
     
  • 4.37, Анын (ok), 18:22, 25/10/2021 Скрыто модератором
  • +/
     
  • 3.38, Аноним (-), 18:33, 25/10/2021 Скрыто модератором
  • +/
     
     
  • 4.51, Аноним (51), 22:02, 25/10/2021 Скрыто модератором
  • –1 +/
     
  • 3.50, Anonymous XE (?), 21:05, 25/10/2021 Скрыто модератором
  • +/
     
  • 2.21, Аноним (13), 16:04, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну конечно ты сейчас нам тут запилишь на современном языке современнею ОС. Она будет настолько совреманна и идеальна что по сути её не будет. Это же современно и модно, поросто балаболить.

    Тут ведь как? Лох - это судьба

     
  • 2.22, шестнадцать (?), 16:05, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    NNTP и mailman - наше всё!
     
  • 2.59, лютый жабби__ (?), 10:46, 26/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >чуваки походу застряли в 90-х годах прошлого века

    дык, с тех пор ничего надежнее "почта + gpg" не придумано...

    вы ж не будете сейчас про дурограмм, слаки и остальные дискорды писать?

     
     
  • 3.60, Нанобот (ok), 10:56, 26/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > дык, с тех пор ничего надежнее "почта + gpg" не придумано...

    ой, да ладно. почта - это которая не доходит в зависимости от фазы луны и настроения админов? да ну нафиг такую надёжность. а gpg - это скорее способ отсеивания новичков, а не инструмент для общения.

    > вы ж не будете сейчас про дурограмм, слаки и остальные дискорды писать?

    не буду. но только потому, что мне лень :)

     

  • 1.20, пох. (?), 15:48, 25/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну вы продолжайте, продолжайте борцунство с referer: - а потом виноват будет гугль, мировая закулиса, неправильный мэйлман...

     
     
  • 2.23, шестнадцать (?), 16:06, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    .. мэйлман из ада Столлмана!
     
     
  • 3.26, Аноним (13), 16:18, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ты то уже на расте неписал свой hello world
     
     
  • 4.58, Тинус Лорвальдс (ok), 09:32, 26/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    не думаю, что у него написать больше половины получилось.
     
  • 3.66, Аноним (66), 10:21, 27/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это не борода часом спамит?
     

  • 1.33, kusb (?), 17:32, 25/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Какая же огромная дыра из дыр это ваше программное обеспечение. Тришкин кафтан и то целее будет. Мы привыкли что так и надо, но это просто глаз замылился. Блин, служба рассылки просто письма пересылает, откуда там взяться такой системе, что её упорно годы разрабатывают и таким дырам, что аж пароль уезжает прямо к нам.
    Сама идея того же переполнения буфера например - тоже смешно же.
     
     
  • 2.34, Аноним (31), 17:53, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ты сейчас нас ведь всех научишь как надо да?
     
     
  • 3.39, kusb (?), 18:41, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну ты сейчас нас ведь всех научишь как надо да?

    Скорее нет, конечно. Не потому что не хочу, а потому не могу и разбираюсь в теме хуже тех, кто всё это сделал.

     
     
  • 4.43, Аноним (40), 19:21, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну хорошо что хоть признался в своей неграмотности. Уже на пути к успеху.
     
     
  • 5.45, kusb (?), 20:18, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну хорошо что хоть признался в своей неграмотности. Уже на пути к
    > успеху.

    Эх, просто не нужно быть повором чтобы критиковать кушанье. И возможно моё незнание не позволяет мне здраво судить, а возможно таки наоборот - и я создаю модель из некоторых других возможных, а не только существующих вариантов.
    Максимальное незнание вообще будет удивляться тому, что программы многословны и имеют такие глюки, это же почти чистая логика из мира абстрактных идей или словесное описание. Что в фразе "повторяй всем в базе написанное одним" может пойти не так...

    Дайте мне время и я бы переизобрёл компьютеры, языки и всё I

     
     
  • 6.46, kusb (?), 20:21, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    IT. Причём так хреново, что этим вообще можно было пользоваться с большим трудом. Это была бы лютая хрень. Ибо сложности понимаются по мере делания, таки и те люди таки специалисты....
     
  • 2.53, Онаним (?), 22:18, 25/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В счётах тоже есть дыры. Они сквозь них нанизаны.
     
     
  • 3.61, kusb (?), 10:58, 26/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Счёты ещё и бесполезны без головы, а в голове - тоже дыра.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру