Vulnérabilité de mailman

Gestion du document

Référence	CERTA-2002-AVI-197
Titre	Vulnérabilité de mailman
Date de la première version	30 août 2002
Date de la dernière version	30 août 2002
Source(s)	Bulletin de sécurité DSA-147 de Debian.
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Usurpation d'identité ;
perte de confidentialité des données.

Systèmes affectés

Mailman versions 2.0.11 et antérieures.

Résumé

Une vulnérabilité de type cross-site scripting est présente dans un des scripts CGI de mailman.

Description

Mailman est un logiciel permettant de gérer des listes de diffusion.

Le script CGI ml-name ne filtre pas correctement les données reçues.

Un utilisateur mal intentionné peut exploiter cette vulnérabilité afin d'exécuter des scripts sur un poste client accédant à l'application mailman vulnérable au travers de son navigateur (vulnérabilité de type cross-site scripting). Il est alors possible de récupérer les données d'authentification du poste client ou de lire les données transmises au site vulnérable par l'utilisateur.

Solution

La version 2.0.12 de mailman corrige cette vulnérabilité.

Documentation

Site de mailman :
```
http://www.gnu.org/software/mailman
```
Message "Released Mailman 2.0.12" sur la liste de diffusion Mailman-Developper :
```
http://python.org/msg03563.html
```

Bulletin de sécurité DSA-147 de Debian :

http://www.debian.org/security/2002/dsa-147

Bulletin de sécurité RHSA-2002:176 de RedHat :

http://rhn.redhat.com/errata/RHSA-2002-176.html

Note d'information CERTA-2002-INF-001 du CERTA :

http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-001/index.html

Avis du CERT-FR

Objet: Vulnérabilité de mailman