Bulletin d'alerte Debian

DLA-2499-1 sympa -- Mise à jour de sécurité pour LTS

Date du rapport :
17 décembre 2020
Paquets concernés :
sympa
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 976020.
Dans le dictionnaire CVE du Mitre : CVE-2020-29668.
Plus de précisions :

Sympa, un gestionnaire moderne de liste de diffusion, accorde un accès total à l’API de SOAP en envoyant une chaîne non valable comme valeur de cookie, si le point de terminaison de SOAP était activé. Un attaquant pourrait manipuler les listes de diffusion, incluant la souscription aux courriels ou l’obtention de la liste des abonnés.

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 6.2.16~dfsg-3+deb9u5.

Nous vous recommandons de mettre à jour vos paquets sympa.

Pour disposer d'un état détaillé sur la sécurité de sympa, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/sympa.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.