Attaques

Les adresses de milliers de passionnés de sécurité dérobées.

Par Jerome Saiz, le 12 fév 2005 à 18:02:00.

Attaques

La célèbre liste de diffusion de vulnérabilités Full-Disclosure a été victime d'une attaque. En exploitant une faille jusqu'alors inconnue dans Mailman, son logiciel de gestion, un pirate est parvenu à s'emparer des adresses emails et des comptes de milliers d'abonnés. Si vous étiez abonné à Full Disclosure, votre adresse est désormais probablement dans la nature.

Les adresses email de milliers de passionnés, de responsables sécurité et d'experts sont désormais dans la nature à la suite de l'attaque du serveur de la liste de diffusion Full-Disclosure. Et il n'est pas dit que d'autres listes ne soient pas rapidement compromises à leur tour, car l'attaque frappe le logiciel de gestion de listes Mailman, particulièrement populaire sur Internet.
L'attaque aurait eu lieu le 2 janvier dernier, mais elle n'aurait été découverte que cette semaine. La vulnérabilité mise en oeuvre frappe Mailman 2.1.5 et elle est connue depuis le début du mois de février. Elle permet une attaque par "traversée de répertoire" lorsque Mailman est installé sur un serveur web qui ne supprime pas automatiquement les symboles slash superflus, tel par exemple Apache 1.3. Et bien sûr, Full-Disclosure fonctionnait avec le couple Mailman 2.1.5 et Apache 1.3 !

Il n'y a pas encore de correctif à cette faille, mais seulement une astuce afin de limiter les dégâts, présentée dans l'alerte de la liste Full-Disclosure. Notez également que la version 2.1.6 du logiciel, disponible depuis le 16 janvier, est immunisée contre une telle attaque.

Plus d'information

L'annonce de l'attaque sur la liste Full-Disclosure (en anglais)
L'annonce de la vulnérabilité sur le site de Mailman

Des dizaines de milliers de sites de confiance détournés. (10 jan 2008)
Des mots de passe indescriptibes. (10 oct 2000)
Une faille de sécurité catastrophique pour les Unix. (25 juil 2001)
Le mail de l'Ambassade de France en Suisse pirtaté. (27 juil 2001)

Cartes blanches

Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.	Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.	Sécurité et contrôle dans les banques : un échec ? Monsieur RSSI Face à un constat d'échec des contrôles internes dans les banques, un RSSI propose 5 règles à adopter d'urgence.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres

Attaques

Les adresses de milliers de passionnés de sécurité dérobées.

Plus d'information

A voir aussi

Cartes blanches

espace partenaires

Livres Blancs

Guides