Risques
- Perte de confidentialité des données
- Usurpation d'identité
Systèmes affectés
Toutes les versions de mailman antérieures à la version 2.1.4.
Résumé
Deux vulnérabilités de type cross-site scripting sont présentes dans mailman.
Description
mailman est un logiciel permettant la gestion des listes de diffusion. Un utilisateur mal intentionné peut exploiter deux vulnérabilités afin d'exécuter des scripts sur un poste client accédant à l'application mailman vulnérable au travers de son navigateur (vulnérabilité de type cross-site scripting). Il est alors possible de récupérer les données d'authentification du poste client ou de lire les données transmises au site vulnérable par l'utilisateur.
Solution
Mettre à jour mailman en version 2.1.4. Se référer à la section Documentation pour la mise à jour selon la distribution concernée.
Documentation
- Avis de sécurité Debian DSA-436 : Le correctif proposé par Debian dans l'avis DSA-436 introduitune nouvelle vulnérabilité. http://www.debian.org/security/2004/dsa-436
- Avis de sécurité Mandrake MDKSA-2004:013 : http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:013
- Avis de sécurité RedHat RHSA-2004:019 : http://rhn.redhat.com/errata/RHSA-2004-019.html
- Avis de sécurité RedHat RHSA-2004:020 : http://rhn.redhat.com/errata/RHSA-2004-020.html
- Avis de sécurité RedHat RHSA-2004:156 : http://rhn.redhat.com/errata/RHSA-2004-156.html
- Avis de sécurité SGI 20040201-01-U du 11 février 2004 : ftp://patches.sgi.com/support/free/security/advisories/20040201-01-U.asc
- Avis de sécurité SGI 20040404-01-U du 21 avril 2004 : ftp://patches.sgi.com/support/free/security/advisories/20040404-01-U.asc
- Avis de sécurité SUSE SuSE:2004:008 su 14 avril 2004 : http://www.suse.com/de/security/2004_08_cvs.html
- Mise à jour de sécurité du paquetage NetBSD mailman : ftp://ftp.netbsd.org/pub/NetBSD/packages/distfiles/vulnerabilities
- Quatre avis de sécurité FreeBSD du 25 février 2004 : http://www.vuxml.org/freebsd/
- Site internet de mailman : http://www.list.org
