Risque
- Accès à des informations non autorisées ;
- contournement de la politique de sécurité.
Systèmes affectés
Mailman version 2.1.5 et versions antérieures.Description
Mailman est un logiciel permettant la gestion des listes de diffusion.Une vulnérabilité dans la fonction true_path du fichier private.py permet à un utilisateur mal intentionné de réaliser une traversée de répertoires pouvant conduire à l'accès à des fichiers non autorisés.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet de Mailman :
http://www.gnu.org/software/mailman/mailman.html
- Bulletin de sécurité Gentoo GLSA 200502-11 du 10 février 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200502-11.xml
- Bulletin de sécurité Debian DSA-674 du 10 février 2005 :
http://www.debian.org/security/2005/dsa-674
- Bulletin de sécurité RedHat RHSA-2005:136 du 10 février 2005 :
http://rhn.redhat.com/errata/RHSA-2005-136.html
- Bulletin de sécurité RedHat RHSA-2005:137 du 15 février 2005 :
http://rhn.redhat.com/errata/RHSA-2005-137.html
- Bulletin de sécurité OpenBSD pour mailman du 10 février 2005 :
http://www.vuxml.org/openbsd/
- Bulletin de sécurité FreeBSD pour mailman du 12 février 2005 :
http://www.vuxml.org/freebsd/
- Bulletin de sécurité Mandrake MDKSA-2005:037 du 14 février 2005 :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:037
- Bulletin de sécurité SUSE SUSE-SA:2005:007 du 14 février 2005 :
http://www.novell.com/linux/security/advisories/2005_07_mailman.html
- Mise à jour de sécurité du paquetage NetBSD mailman :
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/mail/mailman/README.html
- Référence CVE CAN-2005-0202 :
https://www.cve.org/CVERecord?id=CAN-2005-0202