Bulletin d'alerte Debian

DLA-3049-1 mailman -- Mise à jour de sécurité pour LTS

Date du rapport :
9 juin 2022
Paquets concernés :
mailman
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 1000367, Bogue 1001685.
Dans le dictionnaire CVE du Mitre : CVE-2021-43331, CVE-2021-43332, CVE-2021-44227.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Mailman, un gestionnaire de listes de diffusion basé sur le web. Un attaquant pouvait usurper des comptes plus privilégiés au moyen de plusieurs vecteurs.

  • CVE-2021-43331

    Une URL contrefaite vers la page des options utilisateur de Cgi/options.py peut exécuter du code JavaScript arbitraire pour une attaque par script intersite (XSS).

  • CVE-2021-43332

    Le jeton CSRF pour la page admindb de Cgi/admindb.py contient une version chiffrée du mot de passe de l'administrateur de listes. Elle pouvait éventuellement être craquée par un modérateur au moyen d'une attaque par force brute hors ligne.

  • CVE-2021-44227

    Un membre de liste ou un modérateur peut obtenir un jeton CSRF et contrefaire une requête d'administrateur (en utilisant ce jeton) pour définir un nouveau mot de passe ou procéder à d'autres modifications.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1:2.1.23-1+deb9u8.

Nous vous recommandons de mettre à jour vos paquets mailman.

Pour disposer d'un état détaillé sur la sécurité de mailman, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/mailman.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.