Bulletin d'alerte Debian

DSA-3214-1 mailman -- Mise à jour de sécurité

Date du rapport :
6 avril 2015
Paquets concernés :
mailman
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 781626.
Dans le dictionnaire CVE du Mitre : CVE-2015-2775.
Plus de précisions :

Une vulnérabilité de traversée de répertoires a été découverte dans Mailman, le gestionnaire de listes de diffusion. Les installations utilisant un script de transport (tel que postfix-to-mailman.py) pour s'interfacer avec leur MTA plutôt que des alias statiques sont vulnérables à une attaque de traversée de répertoires. Pour exploiter efficacement cela, un attaquant a besoin d'avoir accès en écriture sur le système local de fichiers.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1:2.1.15-1+deb7u1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:2.1.18-2.

Nous vous recommandons de mettre à jour vos paquets mailman.