Die Mailinglisten-Software Listserv enthielt kritische Fehler, durch die Angreifer Code mit Rechten des Webservers auf betroffenen Systemen ausführen konnten. Mit der nun verfügbaren Version 14.5 des Massenmailers schließt der Hersteller diese Lücken und rüstet neue Funktionen wie die Unterstützung von Domainkeys nach.
Der von NGSSoftware entdeckte Fehler betrifft laut Release-Notes der neuen Version das WA-CGI-Skript. Dort konnten Angreifer Pufferüberläufe provozieren und darüber Code einschleusen. Der Hersteller L-Soft rät zum umgehenden Update.
Siehe dazu auch:
* Download der aktuellen Listserv-Version
* Release-Notes zu Listserv 14.5
Quelle und Links :
http://www.heise.de/security/news/meldung/70425
