Eine directory-traversal-Schwachstelle in der Mailinglistensoftware Mailman der Version 2.1.5 erlaubt den nicht autorisierten Zugriff auf Daten von Mailinglisten, inklusive der Administrationsdaten und Paßwörter subskribierter Listenmitglieder über die Webschnittstelle der Software. Zugriff auf weitere Daten des beherbergenden Systems sind u.U. ebenfalls möglich.

Betroffene Systeme

• Mailman 2.1.5 und frühere Versionen

Einfallstor

• Zugriff auf die Webschnittstelle von Mailman

Auswirkung

• Auslesen geschützter Information auf dem beherbergenden System

Typ der Verwundbarkeit

• design flaw

Gefahrenpotential

• mittel

Kontext
Mailman ist ein komfortables Softwarewerkzeug zur Verwaltung von Mailinglisten. Neben einer Benutzungsschnittstelle via E-Mail stellt es eine Webschnittstelle zur Verfügung, über die einerseits Listenmanager ihre Listen verwalten können und andererseits Benutzer ihre Einstellungen pflegen und die -- automatisch von Mailman generierten -- Listenarchive einsehen können.

Beschreibung

• Eine directory-traversal-Schwachstelle in Mailman kann von einem nicht autorisierten Angreifer über eine Netzwerkverbindung dazu ausgenutzt werden, geschützte Bereiche innerhalb des Mailmansystems einzusehen und Daten zu extrahieren. Neben den Listen subskribierter Mitglieder betrifft dies auch die Paßwörter der Mitglieder, die zum Zugriff auf deren persönliche Einstellungen erforderlich sind, sowie die Archive. Je nach Installation kann der Angreifer auch auf andere Daten auf dem beherbergenden Rechnersystem zugreifen.

Die Schwachstelle basiert auf einem Designfehler im CGI-Skript private.py, das übergebene URLs soweit bereinigen soll, daß der Zugriff vor allem auf übergeordnete Verzeichnisse unterbunden wird, für die ein Benutzer keine Berechtigung besitzt. Dazu entfernt sie überflüssige und nicht erlaubte Strings, wie z.B. "../" aus den übergebenen URLs, um sicherzustellen, daß nicht irrtümlich Zugriff auf Verzeichnisse gewährt wird. Die Funktion deckt allerdings nicht alle Fälle ab, so daß z.B. die Übergabe des Strings ".../....///" nach Verarbeitung den String "../" zurückliefert, der dann intern weiter verwendet wird. Dies kann den Zugriff auf (insbesondere übergeordnete) Verzeichnisse ermöglichen, die nicht für den Zugriff durch unautorisierte Benutzer über die Webschnittstelle vorgesehen sind.

Mildernde Faktoren

• Die Schwachstelle läßt sich nur auf Installationen ausnutzen, die einen Webserver verwenden, der selbst keine überflüssigen Schrägstriche ("/") ausfiltert.

Angriffssignatur

• Erfolgreiche Angriffe hinterlassen u.a. Einträge wie oben beschrieben in den Mailman-Logs. Generell sollten die Logeinträge nach URLs durchsucht werden, die mindestens drei Punkte hintereinander enthalten. Administratoren erfolgreich angegriffener Installationen berichten von Zeichenketten wie "/..../".

Workaround

• Beschränkung des Zugriffs auf die Webschnittstelle von Mailman.

Gegenmaßnahmen

• Installation eines Patches.
• Installation der neuen Mailmanversion, sobald diese Verfügbar ist.
• Einige Linux-Distributoren stellen bereits gepatchte Mailman-Pakete zur Verfügung:
  • Debian
  • Redhat

Exploit Status

• Die Schwachstelle wurde bereits aktiv ausgenutzt. Es ist davon auszugehen, daß weitere Angriffe auf Mailmaninstallationen erfolgen.

Vulnerability ID

• CAN-2005-0202

Weitere Information zu diesem Thema

• Mailman Homepage

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/