Bulletin d'alerte Debian

DLA-148-1 sympa -- Mise à jour de sécurité pour LTS

Date du rapport :
7 février 2015
Paquets concernés :
sympa
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-1306.
Plus de précisions :

Une vulnérabilité a été découverte dans l'interface web de sympa, un gestionnaire de listes de diffusion. Un attaquant pourrait tirer avantage de ce défaut dans la zone d'envoi de lettres d'information. Cela permet d'envoyer à une liste ou à soi-même tout fichier existant dans le système de fichiers du serveur et lisible par l'utilisateur sympa.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 6.0.1+dfsg-4+squeeze3 de sympa.