邮件列表软件中的缺陷泄露了密码

2019-08-31 16:03:36 来源:网站建设(深圳网站建设)

充值入口 本周发现并在周三向Full Disclosure安全邮件列表发布公告时报告的盗窃行为对使用开源Mailman软件包的其他讨论组的安全性产生了不确定性。通过特别制作Web地址,攻击者可以获取讨论组中每个成员的密码。 “任何拥有Web浏览器的人都可以从易受攻击的系统下载文件 - 这很容易做到,”Full Disclosure邮件列表的联合创始人兼经理John Cartwright说。根据Cartwright的调查,这次攻击被称为远程目录遍历攻击,发生在1月2日。 “就我们的服务器而言,没有证据表明使用此漏洞访问了任何其他文件。” 该漏洞可能会产生深远的影响,因为一些邮件列表订阅者将其访问代码更改为他们在其他地游戏大厅方重用的密码。由于Mailman使用订阅者的电子邮件作为其用户名,因此重用密码的人可能会使其他帐户处于危险之中。 根据Mailman网站上的一份安全公告,怀疑运行Apache 2.0和Mailman的服务器不会受到利用此漏洞的攻击。 “无论如何,最安全的方法是假设最坏的情况,建议你尽快应用这个Mailman补丁,”该咨询指出。 完全披露讨论列表使用了在Apache 1.3上运行的Mailman,这是一个易受攻击的配置。 将Mailman作为其Linux发行版的一部分进行分发的公司和项目已经开始发布针对该问题的修复程序。 Debian,Ubuntu和Gentoo Linux已经发布了引用该问题并提供补丁的建议。游戏大全
PREV   NEXT