Problème de configuration du produit Majordomo
Date : 23 Juin 2005
Un problème dans la configuration par défaut du gestionnaire de liste de diffusion "Majordomo" a été découvert ce mois-ci. Cependant il est à noter que ce problème n'affecte que des configurations "permissives" de listes de diffusion.
Introduction :
La commande "which" dans un e-mail adressé au gestionnaire Majordomo (dont la syntaxe est which [adresse]) permet de retrouver l'ensemble des listes auxquelles [adresse] est abonnée. Cette opération est effectuée sans aucune authentification préalable.
La directive de configuration associée à chaque liste de diffusion, "which_access" permet de contrôler l'utilisation de la commande "which" :
- autorisation sans restriction (mot-clé : "open"),
- autorisation partielle (mot-clé : "list"),
- désactivation de la fonctionnalité (mot-clé : "closed").
Dans le cadre de la sécurisation des listes de diffusion, il est cependant conseillé de désactiver cette fonctionnalité dans toutes les listes : which_access = closed
Problème :
Une utilisation malicieuse de la commande "which" permet d'obtenir la liste de tous les utilisateurs abonnés à toutes les listes de diffusion dont la directive "which_acces" est positionnée à "open".
Solutions :
Il est donc conseillé de désactiver cette fonctionnalité dans toutes les listes.
Si cette fonctionnalité est cependant nécessaire, sa portée peut être réduite en restreignant les personnes ayant le droit de l'utiliser. Pour cela, il suffit de créer un fichier vide "[nom_liste].private" présent dans le répertoire associé à la liste de diffusion, pour n'autoriser que les membres de la liste à utiliser la commande "which" (ou les commandes "who", "index"et "get").
Pour plus d'information :
- Manuel de l'utilisateur de Majordomo : http://www.greatcircle.com/majordomo/majordomo.manual.txt
- Article de SecurityFocus : http://www.securityfocus.com/bid/6761