Bulletin d'alerte Debian
mailman -- Authentification peu sure de l'administrateur
- Date du rapport :
- 23 juin 1999
- Paquets concernés :
-
mailman
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 480.
Dans le dictionnaire CVE du Mitre : CVE-1999-0742.
- Plus de précisions :
- Nous avons appris que la version de mailman fournie dans
Debian GNU/Linux 2.1 rencontre un problème en vérifiant les
administrateurs des listes. Il était possible de prédire la génération
de chiffre pour le témoin de connexion (cookie). Ainsi, en se fabriquant son
propre témoin valide, il était possible d'accéder aux pages d'administration
sans connaître pour autant le mot de passe. Pour plus d'informations à propos
de cette vulnérabilité, référez-vous aux archives, du mois de juin 1999, de la
liste de diffusion des développeurs de mailman sur python.org, dans le fil de
discussion « Cookie security hole in admin interface ».
Ceci est réparé dans la version 1.0rc2-5.
- Corrigé dans :
-
- alpha:
- http://security.debian.org/dists/stable/updates/binary-alpha/mailman_1.0rc2-5_alpha.deb
- i386:
- http://security.debian.org/dists/stable/updates/binary-i386/mailman_1.0rc2-5_i386.deb
- m68k:
- http://security.debian.org/dists/stable/updates/binary-m68k/mailman_1.0rc2-5_m68k.deb
- sparc:
- http://security.debian.org/dists/stable/updates/binary-sparc/mailman_1.0rc2-5_sparc.deb
