検出

openSUSEセキュリティ更新プログラム:mailman(openSUSE-2019-495)

medium Nessus プラグイン ID 123204

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このmailmanのバージョン2.1.27への更新では、次の問題が修正されます:

以下のセキュリティの問題が修正されました。

 - CVE-2018-0618:listinfoおよびエラーメッセージページへのスクリプト注入に対する保護の強化(bsc#1099510)。

以下のセキュリティ以外の問題が、修正されました。

 - SUBSCRIBE_FORM_SECRETが設定されている場合に生成されるハッシュは、異なるリストおよびIPアドレスに対して同時に生成されるものと同じである場合があります。

 - メンバーを即時に追加する代わりに、招待を発行するためのオプションがbin/add_membersに追加されました。

 - 新しいBLOCK_SPAMHAUS_LISTED_IP_SUBSCRIBE設定が追加されました。これにより、Spamhaus SBL、CSSまたはXBLにリストされているIPv4アドレスからのWebサブスクリプションをブロックできるようになります。Pythonのpy2-ipaddressモジュールがインストールされている場合、IPv6アドレスで動作します。このモジュールは、お使いのPythonに含まれていない場合にはpipを使用してインストールできます。

 - Mailmanに新しい「セキュリティ」ログが追加され、さまざまなWeb CGI機能に対する認証の失敗が記録されます。ログに記録されるデータにはリモートIPが含まれており、fail2banなどでIPを自動ブロックするときに使用できます。Mailman 2.1.14以降、これらによりhttp401ステータスが返され、情報はWebサーバーにより記録されますが、この新しいログではこれがより便利になります。また、リモートIPが使用可能ある場合には「hostile listname」noeの「mischief」ログエントリにリモートIPが含まれます。

 - サブスクライブ(サブスクライブ解除)の管理通知で、アクションのソースを示すことができます。これは、admin(un)subscribeack.txtテンプレートに追加された%(whence)s置換で構成されています。英語以外の言語のテンプレートを更新し、その理由の国際化に尽力していただいたYasuhito FUTATSUKI氏に感謝の意を表します。

 新しいBLOCK_SPAMHAUS_LISTED_DBL_SUBSCRIBE設定が追加されました。これにより、Spamhaus DBLにリストされているドメインのアドレスに対するWebサブスクリプションをブロックできるようになります。

ソリューション

影響を受ける mailman パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1099510

プラグインの詳細

深刻度: Medium

ID: 123204

ファイル名: openSUSE-2019-495.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2019/3/27

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.0

CVSS v2

リスクファクター: Low

基本値: 3.5

現状値: 2.6

ベクトル: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N

CVSS v3

リスクファクター: Medium

基本値: 5.4

現状値: 4.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:mailman, p-cpe:/a:novell:opensuse:mailman-debuginfo, p-cpe:/a:novell:opensuse:mailman-debugsource, cpe:/o:novell:opensuse:15.0

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/3/23

脆弱性公開日: 2018/7/26

参照情報

CVE: CVE-2018-0618