{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>Toutes les versions de <TT>mailman</TT>  ant\u00e9rieures \u00e0 la version 2.1.4.</p>","content":"## Description\n\nmailman est un logiciel permettant la gestion des listes de diffusion.\nUn utilisateur mal intentionn\u00e9 peut exploiter deux vuln\u00e9rabilit\u00e9s afin\nd'ex\u00e9cuter des scripts sur un poste client acc\u00e9dant \u00e0 l'application\nmailman vuln\u00e9rable au travers de son navigateur (vuln\u00e9rabilit\u00e9 de type\ncross-site scripting). Il est alors possible de r\u00e9cup\u00e9rer les donn\u00e9es\nd'authentification du poste client ou de lire les donn\u00e9es transmises au\nsite vuln\u00e9rable par l'utilisateur.\n\n## Solution\n\nMettre \u00e0 jour mailman en version 2.1.4. Se r\u00e9f\u00e9rer \u00e0 la section\nDocumentation pour la mise \u00e0 jour selon la distribution concern\u00e9e.\n","cves":[],"links":[{"title":"Avis de s\u00e9curit\u00e9 RedHat RHSA-2004:156 :","url":"http://rhn.redhat.com/errata/RHSA-2004-156.html"},{"title":"Avis de s\u00e9curit\u00e9 SGI 20040201-01-U du 11 f\u00e9vrier 2004 :","url":"ftp://patches.sgi.com/support/free/security/advisories/20040201-01-U.asc"},{"title":"Site internet de mailman :","url":"http://www.list.org"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 du paquetage NetBSD mailman :","url":"ftp://ftp.netbsd.org/pub/NetBSD/packages/distfiles/vulnerabilities"},{"title":"Quatre avis de s\u00e9curit\u00e9 FreeBSD du 25 f\u00e9vrier 2004 :","url":"http://www.vuxml.org/freebsd/"},{"title":"Avis de s\u00e9curit\u00e9 RedHat RHSA-2004:020 :","url":"http://rhn.redhat.com/errata/RHSA-2004-020.html"},{"title":"Avis de s\u00e9curit\u00e9 RedHat RHSA-2004:019 :","url":"http://rhn.redhat.com/errata/RHSA-2004-019.html"},{"title":"Avis de s\u00e9curit\u00e9 Debian DSA-436 :      \nLe correctif propos\u00e9 par Debian dans l'avis DSA-436 introduitune nouvelle vuln\u00e9rabilit\u00e9.","url":"http://www.debian.org/security/2004/dsa-436"},{"title":"Avis de s\u00e9curit\u00e9 Mandrake MDKSA-2004:013 :","url":"http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:013"},{"title":"Avis de s\u00e9curit\u00e9 SGI 20040404-01-U du 21 avril 2004 :","url":"ftp://patches.sgi.com/support/free/security/advisories/20040404-01-U.asc"},{"title":"Avis de s\u00e9curit\u00e9 SUSE SuSE:2004:008 su 14 avril 2004 :","url":"http://www.suse.com/de/security/2004_08_cvs.html"}],"reference":"CERTA-2004-AVI-026","revisions":[{"description":"version initiale.","revision_date":"2004-02-09T00:00:00.000000"},{"description":"ajout du bulletin de s\u00e9curit\u00e9 de Mandrake.","revision_date":"2004-02-16T00:00:00.000000"},{"description":"modification de l'avis Debian. Le pr\u00e9c\u00e9dent correctif Debian (DSA-436-1) introduit une nouvelle vuln\u00e9rabilit\u00e9.","revision_date":"2004-02-24T00:00:00.000000"},{"description":"ajout du bulletin de s\u00e9curit\u00e9 de Fedora.","revision_date":"2004-03-08T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 RedHat, SUSE, SGI et ajout d'une nouvelle r\u00e9f\u00e9rence CVE.","revision_date":"2004-05-10T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 FreeBSD et NetBSD.","revision_date":"2004-05-12T00:00:00.000000"}],"risks":[{"description":"Perte de confidentialit\u00e9 des donn\u00e9es"},{"description":"Usurpation d'identit\u00e9"}],"summary":"Deux vuln\u00e9rabilit\u00e9s de type cross-site scripting sont pr\u00e9sentes dans\nmailman.\n","title":"Vuln\u00e9rabilit\u00e9 dans mailman","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 RedHat RHSA-2004:020-02","url":null}]}