La célèbre liste Full-Disclosure a été piratée
Dans la catégorie (très vaste) « Les cordonniers ont parfois des chaussures avec des petits trous», ce mois-ci : la liste Full-Disclosure.
Rappelons la liste Full Disclosure annonce et décrit les failles de sécurité trouvées ici et là. Or... le serveur de la liste en question a justement été victime d’une attaque le 2 janvier mais qui n'aurait été découverte que cette semaine par les responsables.
L'assaut a été possible grâce à un bug alors inconnu dans Mailman (voir encore ici), le logiciel de gestion de cette mailing list.
« L’adresse email des abonnés et les mots de passes ont été compromis. Tous les membres de la liste ont été avertis de changer immédiatement leur mot de passe » annonce un message d'alerte.
La vulnérabilité concerne spécialement Mailman 2.1.5. Elle permet à un attaquant d'obtenir des fichiers sur un serveur web en exploitant la faille à l’aide de symboles slash superflus. Les dégats pourraient être plus importants puisque ce gestionnaire est très populaire. La version 2.1.6 du logiciel n’est heureusement pas sensible à cette attaque.
Avec une liste fréquentée par de nombreux spécialistes, des responsables et autres experts en sécurité informatique, cette annonce signifie donc que ces données confidentielles d'identification sont peut être encore aujourd’hui dans les mains d’un ou plusieurs pirates...
Rappelons la liste Full Disclosure annonce et décrit les failles de sécurité trouvées ici et là. Or... le serveur de la liste en question a justement été victime d’une attaque le 2 janvier mais qui n'aurait été découverte que cette semaine par les responsables.
L'assaut a été possible grâce à un bug alors inconnu dans Mailman (voir encore ici), le logiciel de gestion de cette mailing list.
« L’adresse email des abonnés et les mots de passes ont été compromis. Tous les membres de la liste ont été avertis de changer immédiatement leur mot de passe » annonce un message d'alerte.
La vulnérabilité concerne spécialement Mailman 2.1.5. Elle permet à un attaquant d'obtenir des fichiers sur un serveur web en exploitant la faille à l’aide de symboles slash superflus. Les dégats pourraient être plus importants puisque ce gestionnaire est très populaire. La version 2.1.6 du logiciel n’est heureusement pas sensible à cette attaque.
Avec une liste fréquentée par de nombreux spécialistes, des responsables et autres experts en sécurité informatique, cette annonce signifie donc que ces données confidentielles d'identification sont peut être encore aujourd’hui dans les mains d’un ou plusieurs pirates...
Le 18 février 2005 à 16:40
(3 950
lectures)
-
HubiC : les premiers clients reçoivent leur année de dédommagement
(7)
Abonné en 2012 ? Surveillez vos mails -
[MàJ] The Pirate Bay de retour
(16)
Le bateau coule ? -
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer
![[MàJ] The Pirate Bay de retour](http://static.pcinpact.com/images/bd/dedicated/79905.jpg)
-
Un moniteur Hanns-G de 21,5 pouces avec DVI et VGA : 90,99 €
Valable pendant 1 heure -
Ultrabook ASUS Zenbook UX32VD de 13,3" en Full HD : 799,99 €
Valable jusqu'au 27 mai -
20 % de remise sur des accessoires pour l'achat d'une tablette
Valable jusqu'au 26 mai -
Le jeu FIFA 13 pour PC à 24,99 €
Valable jusqu'au 28 mai
