Sécurité informatique

securite informatique
     SECURINFOS
     in English
     Bulletins sécurité
     Docs sécurité
     Logiciels sécurité
     Vieux Logiciels
     Forum sécurité
     Services
     Définitions
     Astuces Windows
     MetaSploit
     M$ OPcodes
     Passwords
     Dictionnaires
     Contact
     Liens

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Mailman : Vulnérabilité d'Insertion de Script


05/02/2008 14H45
Référence Secunia : SA28794 
Date de publication : 2008-02-05

Risque : Non Critique. Niveau 2 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Solution de l'éditeur


Produit :
Mailman 2.x

Référence CVE :
CVE-2008-0564



Description :
Une vulnérabilité a été rapportée dans Mailman, qui pourrait être exploitée par des utilisateurs malicieux pour conduire des attaques par insertion de script.

Une certaine entrée en éditant la liste templates et le list info attribute n'est pas correctement filtrée avant d'être enregistrée. Cela pourrait être exploité pour insérer du code HTML et de script arbitraire, qui est exécuté dans une session de navigation d'un utilisateur dans le contexte d'un site affecté quand le site web malicieux est accédé.

L'exploitation de ce problème requière list les privilèges administrateur.

La vulnérabilité est rapportée en version 2.1.9. Les versions précédentes pourraient également être affectées.


Solutions :
Corrigé dans la version de développement 2.1.10b1. N'authorisez que des utilisateurs de confiance list les privilèges administrateur.


Vulnérabilité découverte par :

Rapportée par l'éditeur.

Référence :
http://sourceforge.net/project/shownotes.php?release_id=559308&group_id=103




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20070816 Mail Machine Vulnérabilité d'Inclusion de Fichier Local
20070611 Mail Notification WITH SSL Plaintext Password Faille de Sécurité
20070409 man db BROWSER Vulnérabilité d'Elévation de Privilèges
20060906 Mailman Vulnérabilités Diverses
20060407 Mailman Private Archive Script Cross Site Scripting
20060301 Mail Transport System Professionnel Mail Relay
20060116 Mailman Dates Vulnérabilité de Déni de Service
20051114 Mailman Déni de Service
20050913 Mail it Now! Upload2Server Exécution de Code Arbitraire
20050630 crip Création Non Sécurisée de Fichiers Temporaires
20050210 Mailman Traversée de Répertoire et Déni de Service
20050112 Mailman Cross Site Scripting et Weak Password Generation
20040604 Mail Manage EX Arbitrary Vulnérabilité d'Inclusion de Fichier
20040526 Mailman Password Retrieval Vulnérabilité
20040101 Mailman Admin Pages Vulnérabilités Cross Site Scripting
20030730 man db Vulnérabilités de Dépassement de Tampon
20030127 Mailman Cross Site Scripting
 
Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés
formation sécurité informatiqe