Risque
Exécution de scripts arbitraires à distance.
Systèmes affectés
Toutes les versions de Mailman, y compris la dernière version 2.1.5 (sortie le 15 mai 2004).
Description
Mailman est un logiciel permettant la gestion des listes de diffusion.Une vulnérabilité dans Mailman permet à un utilisateur mal intentionné d'exécuter des scripts arbitraires à distance dans le contexte du navigateur de la victime (cross-site scripting).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de Mailman :
http://www.gnu.org/software/mailman/mailman.html
- Bulletin de sécurité Gentoo GLSA 200501-29 du 22 janvier 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200501-29.xml
- Bulletin de sécurité Mandrake MDKSA-2005:015 du 24 janvier 2005 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:015
- Bulletin de sécurité OpenBSD pour mailman du 26 janvier 2005 :
http://www.vuxml.org/openbsd/
- Bulletin de sécurité Debian DSA-674 du 10 février 2005 :
http://www.debian.org/security/2005/dsa-674
- Mise à jour de sécurité du paquetage NetBSD mailman :
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/mail/mailman/README.html
- Référence CVE CAN-2004-1143 :
https://www.cve.org/CVERecord?id=CAN-2004-1143
- Référence CVE CAN-2004-1177 :
https://www.cve.org/CVERecord?id=CAN-2004-1177