Información sobre seguridad / 2020 / Información sobre seguridad -- DSA-4818-1 sympa

Aviso de seguridad de Debian

DSA-4818-1 sympa -- actualización de seguridad

Fecha del informe:

23 de dic de 2020

Paquetes afectados:

sympa

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 952428, error 961491, error 971904, error 976020.
En el diccionario CVE de Mitre: CVE-2020-9369, CVE-2020-10936, CVE-2020-26932, CVE-2020-29668.

Información adicional:

Se descubrieron varias vulnerabilidades en Sympa, un gestor de listas de correo, que podían dar lugar a elevación de privilegios local, a denegación de servicio o a acceso no autorizado a través de la API SOAP.

Además, para mitigar CVE-2020-26880 el sympa_newaliases-wrapper ya no se instala con setuid root por omisión. Se añade una nueva pregunta de Debconf para permitir instalaciones con setuid en las configuraciones que lo necesiten.

Para la distribución «estable» (buster), estos problemas se han corregido en la versión 6.2.40~dfsg-1+deb10u1.

Le recomendamos que actualice los paquetes de sympa.

Para información detallada sobre el estado de seguridad de sympa, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/sympa