Risques
- Accès à des informations non autorisées
- Contournement de la politique de sécurité
Systèmes affectés
Mailman version 2.1.5 et versions antérieures.
Description
Mailman est un logiciel permettant la gestion des listes de diffusion.
Une vulnérabilité dans la fonction true_path du fichier private.py
permet à un utilisateur mal intentionné de réaliser une traversée de
répertoires pouvant conduire à l'accès à des fichiers non autorisés.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA-674 du 10 février 2005 : http://www.debian.org/security/2005/dsa-674
- Bulletin de sécurité FreeBSD pour mailman du 12 février 2005 : http://www.vuxml.org/freebsd/
- Bulletin de sécurité Gentoo GLSA 200502-11 du 10 février 2005 : http://www.gentoo.org/security/en/glsa/glsa-200502-11.xml
- Bulletin de sécurité Mandrake MDKSA-2005:037 du 14 février 2005 : http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:037
- Bulletin de sécurité OpenBSD pour mailman du 10 février 2005 : http://www.vuxml.org/openbsd/
- Bulletin de sécurité RedHat RHSA-2005:136 du 10 février 2005 : http://rhn.redhat.com/errata/RHSA-2005-136.html
- Bulletin de sécurité RedHat RHSA-2005:137 du 15 février 2005 : http://rhn.redhat.com/errata/RHSA-2005-137.html
- Bulletin de sécurité SUSE SUSE-SA:2005:007 du 14 février 2005 : http://www.novell.com/linux/security/advisories/2005_07_mailman.html
- Mise à jour de sécurité du paquetage NetBSD mailman : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/mail/mailman/README.html
- Site Internet de Mailman : http://www.gnu.org/software/mailman/mailman.html
