Sauter le menu

• À propos de Debian
• Actualités
• Obtenir Debian
• Assistance
• Le coin du développeur
• Plan du site
• Recherche

Bulletin d'alerte Debian

mailman -- Authentification peu sure de l'administrateur

Date du rapport:

23 juin 1999

Paquets concernés:

mailman

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 480.
Dans le dictionnaire CVE du Mitre : CVE-1999-0742.

Pour plus d'information:

Nous avons appris que la version de mailman fournie dans Debian GNU/Linux 2.1 rencontre un problème en vérifiant les administrateurs des listes. Il était possible de prédire la génération de chiffre pour le témoin de connexion (cookie). Ainsi, en se fabriquant son propre témoin valide, il était possible d'accéder aux pages d'administration sans connaître pour autant le mot de passe. Pour plus d'informations à propos de cette vulnérabilité, référez-vous aux archives, du mois de juin 1999, de la liste de diffusion des développeurs de mailman sur python.org, dans le fil de discussion « Cookie security hole in admin interface ». Ceci est réparé dans la version 1.0rc2-5.

Corrigé dans:

alpha:

http://security.debian.org/dists/stable/updates/binary-alpha/mailman_1.0rc2-5_alpha.deb

i386:

http://security.debian.org/dists/stable/updates/binary-i386/mailman_1.0rc2-5_i386.deb

m68k:

http://security.debian.org/dists/stable/updates/binary-m68k/mailman_1.0rc2-5_m68k.deb

sparc:

http://security.debian.org/dists/stable/updates/binary-sparc/mailman_1.0rc2-5_sparc.deb

Cette page est aussi disponible dans les langues suivantes :

Deutsch English español 日本語 (Nihongo) svenska

Comment configurer la langue par défaut du document