Bulletin d'alerte Debian

DLA-2441-1 sympa -- Mise à jour de sécurité pour LTS

Date du rapport :
9 novembre 2020
Paquets concernés :
sympa
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 908165, Bogue 972189.
Dans le dictionnaire CVE du Mitre : CVE-2018-1000671, CVE-2020-26880.
Plus de précisions :

Une élévation des privilèges a été découverte dans Sympa, un gestionnaire moderne de liste de diffusion. Elle est corrigée lorsque Sympa est utilisé conjointement avec des MTA courants (tels Exim ou Postfix) en désactivant un exécutable setuid. Cependant, aucun correctif n’est actuellement disponible pour tous les environnements (tel sendmail). De plus, une vulnérabilité de redirection ouverte a été découverte et corrigée.

  • CVE-2020-26880

    Sympa permet une élévation locale des privilèges, de compte utilisateur de sympa à un accès complet de superutilisateur, en modifiant le fichier de configuration sympa.conf (appartenant à sympa) et en l’analysant à l’aide de l’exécutable setuid sympa_newaliases-wrapper.

  • CVE-2018-1000671

    Sympa contient un CWE-601 : vulnérabilité de redirection d’URL vers un site non fiable (redirection ouverte) dans le paramètre referer de l’action de connexion wwsympa.fcgi. Cela peut aboutir à une redirection ouverte et à un script intersite réfléchi à l’aide d’URI de données.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 6.2.16~dfsg-3+deb9u4.

Nous vous recommandons de mettre à jour vos paquets sympa.

Pour disposer d'un état détaillé sur la sécurité de sympa, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/sympa.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.