Bulletin d'alerte Debian
DLA-186-1 mailman -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 6 avril 2015
- Paquets concernés :
- mailman
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 781626.
Dans le dictionnaire CVE du Mitre : CVE-2015-2775. - Plus de précisions :
-
Une vulnérabilité de traversée de répertoires a été découverte dans Mailman, le gestionnaire de listes de diffusion. Les installations utilisant un script de transport (tel que postfix-to-mailman.py) pour s'interfacer avec leur MTA plutôt que des alias statiques sont vulnérables à une attaque de traversée de répertoires. Pour exploiter efficacement cela, un attaquant a besoin d'avoir accès en écriture sur le système local de fichiers.
Pour Debian 6
Squeeze
, ces problèmes ont été corrigés dans mailman version 1:2.1.13-6