Vulnérabilité de mailman

Gestion du document

Référence	CERTA-2005-AVI-041
Titre	Vulnérabilité de mailman
Date de la première version	31 janvier 2005
Date de la dernière version	01 mars 2005
Source(s)	Bulletin de sécurité Gentoo GLSA 200501-29
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de scripts arbitraires à distance

Systèmes affectés

Toutes les versions de Mailman, y compris la dernière version 2.1.5 (sortie le 15 mai 2004).

Description

Mailman est un logiciel permettant la gestion des listes de diffusion.
Une vulnérabilité dans Mailman permet à un utilisateur mal intentionné d'exécuter des scripts arbitraires à distance dans le contexte du navigateur de la victime (cross-site scripting).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Gentoo GLSA 200501-29

http://www.gentoo.org/security/en/glsa/glsa-200501-29.xml

Bulletin de sécurité Debian DSA-674 du 10 février 2005 :

http://www.debian.org/security/2005/dsa-674

Bulletin de sécurité Mandrake MDKSA-2005:015 du 24 janvier 2005 :

http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:015

Bulletin de sécurité OpenBSD pour mailman du 26 janvier 2005 :

http://www.vuxml.org/openbsd/

Mise à jour de sécurité du paquetage NetBSD mailman :

ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/mail/mailman/README.html

Site Internet de Mailman :

http://www.gnu.org/software/mailman/mailman.html

Gestion détaillée du document

le 31 janvier 2005: version initiale.
le 10 février 2005: ajout de la référence au bulletin de sécurité Debian DSA-674.
le 01 mars 2005: ajout de la référence au bulletin de sécurité NetBSD.

Avis du CERT-FR