News

Other articles

Monday 8 March 2010

Audio Podcast Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010

Article Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010

Article Cloud security threats identified by CSA

Tuesday 2 March 2010

In Brief Vote for your CSO Interchange topics

Thursday 25 February 2010

Article Cloud Computing : a simple question of supplier risk

Monday 22 February 2010

Article Most dangerous coding errors outed

Monday 22 February 2010

In Brief Microsoft IE users to get browser choice update

Friday 19 February 2010

Article Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010

In Brief Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010

Audio Podcast The Challenges of Cross Border eID

Monday 15 February 2010

Audio Podcast The Readiness of eID in Europe Part 2

Sunday 14 February 2010

Audio Podcast The Readiness of eID in Europe Part 1

Thursday 11 February 2010

Article Concern at DDoS sophistication rise

Monday 8 February 2010

Article Voice encryption standard takes a beating

Friday 5 February 2010

Article Military importance of cyber recognised

Les adresses de milliers de passionnés de sécurité dérobées.

Written by Jerome Saiz (SecurityVibes)
Published on Saturday 12 February 2005
0 comment(s) | Subnetwork France

| | Other Tools

La célèbre liste de diffusion de vulnérabilités Full-Disclosure a été victime d'une attaque. En exploitant une faille jusqu'alors inconnue dans Mailman, son logiciel de gestion, un pirate est parvenu à s'emparer des adresses emails et des comptes de milliers d'abonnés. Si vous étiez abonné à Full Disclosure, votre adresse est désormais probablement dans la nature.

Les adresses email de milliers de passionnés, de responsables sécurité et d'experts sont désormais dans la nature à la suite de l'attaque du serveur de la liste de diffusion Full-Disclosure. Et il n'est pas dit que d'autres listes ne soient pas rapidement compromises à leur tour, car l'attaque frappe le logiciel de gestion de listes Mailman, particulièrement populaire sur Internet.L'attaque aurait eu lieu le 2 janvier dernier, mais elle n'aurait été découverte que cette semaine. La vulnérabilité mise en oeuvre frappe Mailman 2.1.5 et elle est connue depuis le début du mois de février. Elle permet une attaque par "traversée de répertoire" lorsque Mailman est installé sur un serveur web qui ne supprime pas automatiquement les symboles slash superflus, tel par exemple Apache 1.3. Et bien sûr, Full-Disclosure fonctionnait avec le couple Mailman 2.1.5 et Apache 1.3 !Il n'y a pas encore de correctif à cette faille, mais seulement une astuce afin de limiter les dégâts, présentée dans l'alerte de la liste Full-Disclosure. Notez également que la version 2.1.6 du logiciel, disponible depuis le 16 janvier, est immunisée contre une telle attaque.

L'annonce de l'attaque sur la liste Full-Disclosure (en anglais)
L'annonce de la vulnérabilité sur le site de Mailman

Our members have posted 0 comments about this article. Only members can view and submit new comments.

Quelle politique raisonnable d'information et de diffusion de patchs ?

Internet Explorer : le format JPEG à nouveau en cause

Oracle relance le débat sur le « full-disclosure »

Entre « Full-disclosure » et « Full-exposure », le...

Thierry Rivat, RSSI des Hôpitaux Universitaires de Strasbourg «...

La postérité refusée par Microsoft, un hacker prend la...

Migration environnement windows vers open source (4 Answers)

SSL Man-in-the-Middle Attacks avec authentification mutuelle (3 Answers)

Gouvernance autour de LinkedIn (3 Answers)

Browse Questions

Companies