La célèbre liste de diffusion de vulnérabilités Full-Disclosure a été victime d'une attaque. En exploitant une faille jusqu'alors inconnue dans Mailman, son logiciel de gestion, un pirate est parvenu à s'emparer des adresses emails et des comptes de milliers d'abonnés. Si vous étiez abonné à Full Disclosure, votre adresse est désormais probablement dans la nature.

au sommaire

    Les adresses de milliers de passionnés de sécurité dérobées

    Les adresses de milliers de passionnés de sécurité dérobées

    Les adresses email de milliers de passionnés, de responsables sécurité et d'experts sont désormais dans la nature à la suite de l'attaque du serveur de la liste de diffusiondiffusion Full-Disclosure. Et il n'est pas dit que d'autres listes ne soient pas rapidement compromises à leur tour, car l'attaque frappe le logiciel de gestion de listes Mailman, particulièrement populaire sur InternetInternet.

    L'attaque aurait eu lieu le 2 janvier dernier, mais elle n'aurait été découverte que cette semaine. La vulnérabilité mise en oeuvre frappe Mailman 2.1.5 et elle est connue depuis le début du mois de février. Elle permet une attaque par "traversée de répertoire" lorsque Mailman est installé sur un serveur web qui ne supprime pas automatiquement les symboles slash superflus, tel par exemple ApacheApache 1.3. Et bien sûr, Full-Disclosure fonctionnait avec le couple Mailman 2.1.5 et Apache 1.3 !

    Il n'y a pas encore de correctif à cette faille, mais seulement une astuce afin de limiter les dégâts, présentée dans l'alerte de la liste Full-Disclosure. Notez également que la version 2.1.6 du logiciel, disponible depuis le 16 janvier, est immunisée contre une telle attaque.