mailman:2.1 security update

エラータID: AXSA:2022-2976:01

リリース日: 
2022/01/18 Tuesday - 12:03
題名: 
mailman:2.1 security update
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- GNU Mailman には、ある種の csrf_token 値が管理者パスワードから派生し
ていて、そのパスワードに対してブルートフォース攻撃を効率的に実施できる
可能性があるため、リモートから特権昇格される可能性がある脆弱性がありま
す。(CVE-2021-42096)

- GNU Mailman には、 csrf_token 値が他のユーザーアカウントにも使用され
る問題があり、攻撃者は非特権ユーザーアカウントのコンテキスト内にある値
を取得して、その値を管理者に対する CSRF 攻撃に使用することによって、ア
カウントの乗っ取りのような、リモートからの特権昇格に繋がる脆弱性があり
ます。 (CVE-2021-42097)

Modularity name: mailman
Stream name: 2.1

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2021-42096
GNU Mailman before 2.1.35 may allow remote Privilege Escalation. A certain csrf_token value is derived from the admin password, and may be useful in conducting a brute-force attack against that password.
CVE-2021-42097
GNU Mailman before 2.1.35 may allow remote Privilege Escalation. A csrf_token value is not specific to a single user account. An attacker can obtain a value within the context of an unprivileged user account, and then use that value in a CSRF attack against an admin (e.g., for account takeover).
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. mailman-2.1.29-12.module+el8+1369+eec2fb9e.1.src.rpm
    MD5: 9d8616b357b03a622bae4614cf537581
    SHA-256: 007f9782e342fdfaa9bd3e4a819b0ba652829f35fedd75cb6796115d8a1cdb2e
    Size: 9.02 MB

Asianux Server 8 for x86_64
  1. mailman-2.1.29-12.module+el8+1369+eec2fb9e.1.x86_64.rpm
    MD5: a1066352b2ee5eb04dc8bd50315a9ddd
    SHA-256: 6abb17f65b8318eba14921a34e1f0582367d95cb558e9279e3b63be3ddcbc6a5
    Size: 5.99 MB
  2. mailman-debugsource-2.1.29-12.module+el8+1369+eec2fb9e.1.x86_64.rpm
    MD5: 8e2c64f55adc24f9438b9eb9285dff26
    SHA-256: 1d5b7f3f7a23c6aef4a3f2b902549d4dcdaf4b0813c383beb54e8bc90797ec84
    Size: 37.17 kB