QMail Mailing List Manager anfällig für Attacken

Über eine Sicherheitslücke in QMail Mailing List Manager können Angreifer vertrauliche Daten aus der E-Mail-Empfänger-Datenbank eines betroffenen Systems einsehen.

Laut einem Bericht von Secunia tritt die Sicherheitslücke in Version 1.2 von QMail Mailing List Manager auf. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. Die Schwachstelle besteht in der Tatsache, dass die Datenbankdatei „database/qmail.mdb“ innerhalb des Webroot-Verzeichnis abgelegt wird. Durch eine entsprechend formulierte URL-Anfrage können Angreifer diese Datei nach Belieben herunterladen. Es wird empfohlen, den Zugriff auf diese Datei im Webserver entsprechend einzuschränken.