AXSA:2021-2576:01

リリース日: 
2021/12/02 Thursday - 15:56
題名: 
mailman-2.1.15-30.el7.2
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- GNU Mailman のユーザーオプションページには、クロスサイトリクエスト
フォージェリ (CSRF) の問題があり、リモートの攻撃者によって、オプションの
変更リクエストをする任意のユーザーの認証が乗っ取られてしまう脆弱性があります。
(CVE-2016-6893)

- GNU Mailman には、 csrf_token 値が他のユーザーアカウントにも使用される
問題があり、攻撃者は非特権ユーザーアカウントのコンテキスト内にある値を
取得して、その値を管理者に対するCSRF 攻撃に使用することによって、
アカウントの乗っ取りのような、リモートからの特権昇格に繋がる脆弱性が
あります。 (CVE_2021-42097)

- GNU Mailman には、リストメンバーおよびモデレーターが CSRF トークンを
入手できてしまう問題があり、そのトークンを使用した管理者リクエストを
作成することによって、管理者パスワードなどが変更される脆弱性があります。
(CVE-2021-44227)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. mailman-2.1.15-30.el7.2.src.rpm
    MD5: 02782b5e3b206b8cbbb39089a166ec35
    SHA-256: 2343c9ad0bef5dda15bb8826cd9ffe6ce6d4473f7321fe1a27888890853cf889
    Size: 8.19 MB

Asianux Server 7 for x86_64
  1. mailman-2.1.15-30.el7.2.x86_64.rpm
    MD5: 52c20b8e67987bab846892723d646b28
    SHA-256: 1fc04a62f71edc98efaeba3364e7e2612ddb1bc8da924953adb4ba1176da45db
    Size: 5.41 MB
Copyright© 2007-2015 Asianux. All rights reserved.