Sicherheitslücke in Plesk 8.6

Roger Wilco

Active Member
Es ist schon richtig, dass das eine Sicherheitslücke ist, aber bestimmt keine schwerwiegende.

Für den "Exploit" wird bereits ein funktionierender, nicht gesperrter E-Mail-Account mit gültigem Passwort vorausgesetzt. Das heißt der "Angreifer" (oder nennen wir ihn E-Mail-Benutzer) könnte von Anfang an E-Mails über das System versenden und muss dazu nicht diesen Fehler ausnutzen.
 
Meinst Du diesen Bug?

Wenn ich den Text richtig verstehe, braucht man nicht unbedingt das richtige Passwort zu dem Login.
Und Logins austesten mit dem User "info" dürfte eh sehr leicht sein, oder?

huschi.
 
Meinst Du diesen Bug?
Ja. Da wurde wohl mein Beitrag von dem Thema getrennt.

Wenn ich den Text richtig verstehe, braucht man nicht unbedingt das richtige Passwort zu dem Login.
Doch, benötigt man. Ich konnte es zumindest nur mit einem gültigen Passwort reproduzieren und nicht, wie der Autor des Reports angeblich nur mit einem gültigen Passwort (ohne Nutzername). Richtig ist allerdings, dass qmail alle Benutzernamen annimmt, die als Präfix einen gültigen localpart haben (also z. B. ist 'foo' eingerichtet und es geht auch 'foo2', 'foobar' usw.; allerdings nur mit dem richtigen Passwort).

Zusätzlich dürfte es nur sehr wenige Pleskinstallationen mit mehreren Domains geben, die das Shortnames-Feature aktiviert haben.
 
Back
Top