Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3134-1 sympa

Bulletin d'alerte Debian

DSA-3134-1 sympa -- Mise à jour de sécurité

Date du rapport :

20 janvier 2015

Paquets concernés :

sympa

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-1306.

Plus de précisions :

Une vulnérabilité a été découverte dans l'interface web de sympa, un gestionnaire de listes de diffusion. Un attaquant pourrait tirer avantage de ce défaut dans la zone d'envoi de lettres d'information. Cela permet d'envoyer à une liste ou à soi-même tout fichier existant dans le système de fichiers du serveur et lisible par l'utilisateur sympa.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 6.1.11~dfsg-5+deb7u2.

Pour la prochaine distribution stable (Jessie), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 6.1.23~dfsg-2.

Nous vous recommandons de mettre à jour vos paquets sympa.