SECURinfos.INFO - Bulletins de sécurité informatique, Alertes et Protection Référence Secunia : SA21732 Date de publication : 2006-09-04 Risque : Moyennement Critique. Niveau 3 sur 5.  Impact : Cross Site Scripting, SpoofingDoS Lieu : A distance Solutions : Non corrigée Produit : Mailman 2.x Référence CVE : CVE-2006-2941 CVE-2006-3636 Description : Quelques vulnérabilités ont été identifiées dans Mailman, qui pourraient être exploitées par des personnes malintentionnées pour conduire des attaques cross-site scripting et des attaques par phishing, et causer un Déni de Service (DoS). 1) Une erreur dans la fonctionnalité de log pourrait être exploitée pour injecter un message falsifié dans le journal d'erreur via une URL construite spécifiquement. L'exploitation de ce problème pourrait duper un administrateur à visiter un site web malicieux. 2) Une erreur dans le traitement d'entêtes malformés qui ne suivent pas le standard de la RFC 2231 pourrait être exploitée pour causer un Déni de Service (DoS). 3) Une certaine entrée non spécifiée n'est pas contrôlée correctement avant d'être renvoyée à l'utilisateur. Cela pourrait être exploité pour exécuter du code HTML et script arbitraires dans une session de navigation d'un utilisateur dans le contexte d'un site affecté. Solutions : Les vulnérabilités ont été corrigées en version 2.1.9rc1 et seront aussi fixées dans la prochaine version 2.1.9 bientôt. Vulnérabilité découverte par : L'éditeur crédite Moritz Naumann. Veuillez noter : L'information sur laquelle est basé ce bulletin Secunia provient d'un tiers sans mention du contraire. Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs. |
SECURINFOS
|
|