Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

Le gestionnaire de liste de diffusion Majordomo et les configurations spécifiques

Date :12 Juillet 2005

Publication: Article

Majordomo est une gestionnaire de listes de diffusion écrit en Perl. Les listes de Majordomo ont la possibilité d'être administrées via des e-mails contenant le mot de passe d'administration (en clair – sic !) pour effectuer diverses opérations telles que l'approbation d'une inscription, la modification de la configuration de la liste, etc…

Dans un premier temps, lorsqu'un e-mail administratif est envoyé à la liste, le mot de passe de cet e-mail est comparé à celui contenu dans la section " admin_passwd " du fichier de configuration de la liste : [nom_de_la_liste].config (appartenant à l'utilisateur " majordom ").

Si le mot de passe ne correspond pas, Majordomo effectue une seconde vérification en essayant d'ouvrir un fichier de type [nom_de_la_liste].passwd pour y lire à nouveau le mot de passe et le comparer avec celui contenu dans le e-mail.

Ainsi, Majordomo effectue 2 authentifications à chaque fois.

Plusieurs ouvrages sur l'utilisation de Majordomo conseillent de ne pas utiliser de mot de passe dans la section " admin_passwd ", mais de le mettre dans un fichier séparé de nom [nom_de_la_liste].passwd et d'assigner à la section " admin_passwd " le nom de ce fichier.

Cependant, une vulnérabilité dans le code de Majordomo (majordomo.pl) permet d'utiliser ce nom de fichier en tant que mot de passe valide. Cela permet ainsi à un utilisateur distant de deviner aisément le mot de passe administratif et d'administrer les listes de diffusion de Majordomo.

Le CERT-IST recommande alors aux administrateurs de Majordomo de garder le mot de passe dans la section " admin_passwd ".

Information complémentaire : http://www.securityfocus.com/vdb/bottom.html?vid=2028