Bulletin d'alerte Debian

DLA-1442-1 mailman -- Mise à jour de sécurité pour LTS

Date du rapport :
24 juillet 2018
Paquets concernés :
mailman
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 903674.
Dans le dictionnaire CVE du Mitre : CVE-2018-0618, CVE-2018-13796.
Plus de précisions :

Deux défauts ont été découverts dans mailman, un gestionnaire de liste de diffusion basé sur le web.

  • CVE-2018-0618

    Toshitsugu Yoneyama de Mitsui Bussan Secure Directions, Inc. a découvert que mailman est prédisposé à un défaut de script intersite permettant à un détendeur de liste malveillant d’injecter des scripts dans la page listinfo, à cause d’une entrée non vérifiée dans le champ host_name.

  • CVE-2018-13796

    Hammad Qureshi a découvert une vulnérabilité d’usurpation de contenu avec des messages non valables de nom de liste dans l’interface web.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1:2.1.18-2+deb8u3.

Nous vous recommandons de mettre à jour vos paquets mailman.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.