Kelemahan Keamanan Utama Ditambal oleh Hyperkitty

  • Whatsapp
Kelemahan Keamanan Utama Ditambal oleh Hyperkitty

 

Bacaan Lainnya

Hyperkitty, aplikasi berbasis Django yang bertanggung jawab untuk menyediakan antarmuka web untuk milis sumber terbuka populer dan layanan manajemen buletin Mailman, telah menambal cacat kritis yang mengungkapkan milis pribadi saat mengimpornya.

Amir Sarabadani, seorang insinyur perangkat lunak di Wikimedia Deutschland, mengidentifikasi kelemahan tersebut saat meningkatkan milis Wikimedia dari Mailman 2 ke Mailman 3.

“Kami sedang meningkatkan milis uji coba yang bersifat pribadi tetapi menyadari selama pemutakhiran itu bersifat publik. Setelah pemutakhiran selesai, daftar akan menjadi pribadi. Milis pribadi dapat berisi informasi sensitif, seperti informasi yang dapat diidentifikasi secara publik, ”kata Sarabadani.

“Saat mengimpor arsip milis pribadi, arsip ini dapat dilihat oleh publik selama masa impor,” demikian bunyi nasihat keamanan di GitHub. Ini berarti aktor ancaman akan dapat mengakses informasi pribadi pengguna.

Peneliti keamanan menandai cacat dalam daftar kritis dengan skor keparahan 7,5. Versi terbaru dari Hyperkitty telah menambal kekurangan tersebut dengan mendapatkan konfigurasi privasi dari daftar yang diimpor dari Mailman alih-alih menggunakan pengaturan default. Menurut penasehat GitHub, pemutakhiran dari versi Mailman yang lebih lama ke versi tiga dapat berlangsung lebih dari satu jam.

Menurut Sarabadani dampak dari cacat tersebut tergantung pada milis dan seberapa besar itu. “Daftar surat pribadi dapat berisi informasi sensitif, seperti informasi yang dapat diidentifikasi secara publik. Jika Anda mengomunikasikan secara publik bahwa milis sedang ditingkatkan [at] tanggal dan waktu tertentu sebagai jendela pemeliharaan (yang biasanya Anda lakukan), penyerang dapat menggunakan kesempatan untuk mengekstrak data pribadi sebanyak mungkin, terutama karena Hyperkitty memungkinkan Anda untuk mengunduh semua arsip secara berkelompok.” Sarabadani lebih lanjut menambahkan.

“Jangan anggap remeh keamanan. Perangkat lunak baru yang digunakan di infra Anda, tidak peduli seberapa matangnya, masih dapat memiliki masalah keamanan yang cukup besar.”

Penelitian terbaru mengungkapkan bahwa hampir 41 persen eksekutif tidak menjalankan tata kelola sumber terbuka di organisasi mereka, angka yang bermasalah mengingat komponen sumber terbuka mendukung sebagian besar aplikasi dan jaringan perusahaan. Cacat keamanan di Hyperkitty menyebabkan daftar yang diimpor sebagian ditandai sebagai publik terlepas dari pengaturan privasinya di Mailman.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *