Bulletin d'alerte Debian

DSA-4108-1 mailman -- Mise à jour de sécurité

Date du rapport :
9 février 2018
Paquets concernés :
mailman
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 888201.
Dans le dictionnaire CVE du Mitre : CVE-2018-5950.
Plus de précisions :

Calum Hutton et l'équipe de Mailman ont découvert une vulnérabilité de script intersite et de fuite d'informations dans la page d'options de l'utilisateur. Un attaquant distant pourrait utiliser une URL contrefaite pour dérober des informations de cookie ou pour chercher à savoir si un utilisateur est abonné à une liste avec une liste de contacts privée.

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 2.1.18-2+deb8u2.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 2.1.23-1+deb9u2.

Nous vous recommandons de mettre à jour vos paquets mailman.

Pour disposer d'un état détaillé sur la sécurité de mailman, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/mailman