au sommaire
Les adresses de milliers de passionnés de sécurité dérobées
Les adresses email de milliers de passionnés, de responsables sécurité et d'experts sont désormais dans la nature à la suite de l'attaque du serveur de la liste de diffusiondiffusion Full-Disclosure. Et il n'est pas dit que d'autres listes ne soient pas rapidement compromises à leur tour, car l'attaque frappe le logiciel de gestion de listes Mailman, particulièrement populaire sur InternetInternet.
L'attaque aurait eu lieu le 2 janvier dernier, mais elle n'aurait été découverte que cette semaine. La vulnérabilité mise en oeuvre frappe Mailman 2.1.5 et elle est connue depuis le début du mois de février. Elle permet une attaque par "traversée de répertoire" lorsque Mailman est installé sur un serveur web qui ne supprime pas automatiquement les symboles slash superflus, tel par exemple ApacheApache 1.3. Et bien sûr, Full-Disclosure fonctionnait avec le couple Mailman 2.1.5 et Apache 1.3 !
Il n'y a pas encore de correctif à cette faille, mais seulement une astuce afin de limiter les dégâts, présentée dans l'alerte de la liste Full-Disclosure. Notez également que la version 2.1.6 du logiciel, disponible depuis le 16 janvier, est immunisée contre une telle attaque.