Bulletin d'alerte Debian

mailman -- Authentification peu sure de l'administrateur

Date du rapport :
23 juin 1999
Paquets concernés :
mailman
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 480.
Dans le dictionnaire CVE du Mitre : CVE-1999-0742.
Plus de précisions :
Nous avons appris que la version de mailman fournie dans Debian GNU/Linux 2.1 rencontre un problème en vérifiant les administrateurs des listes. Il était possible de prédire la génération de chiffre pour le témoin de connexion (cookie). Ainsi, en se fabriquant son propre témoin valide, il était possible d'accéder aux pages d'administration sans connaître pour autant le mot de passe. Pour plus d'informations à propos de cette vulnérabilité, référez-vous aux archives, du mois de juin 1999, de la liste de diffusion des développeurs de mailman sur python.org, dans le fil de discussion « Cookie security hole in admin interface ». Ceci est réparé dans la version 1.0rc2-5.
Corrigé dans :
alpha:
http://security.debian.org/dists/stable/updates/binary-alpha/mailman_1.0rc2-5_alpha.deb
i386:
http://security.debian.org/dists/stable/updates/binary-i386/mailman_1.0rc2-5_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/binary-m68k/mailman_1.0rc2-5_m68k.deb
sparc:
http://security.debian.org/dists/stable/updates/binary-sparc/mailman_1.0rc2-5_sparc.deb