openSUSEセキュリティ更新プログラム:mailman(openSUSE-2020-1707)
medium Nessus プラグイン ID 141925
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このmailmanのバージョン2.1.34への更新では、次の問題が修正されます:- lp#1859104の修正により、リストにサブスクライブしようとするとValueErrorがスローされる可能性があります。これは修正および拡張され、REFUSE_SECOND_PENDINGがサブスクリプション解除にも適用されるようになりました。(lp#1878458)
- DNSによって返されたドメイン名に大文字が含まれている場合に、DMARC緩和策が欠落しなくなりました。(lp#1881035)
- 新しいWARN_MEMBER_OF_SUBSCRIBE設定を「No」に設定すると、サブスクライブの繰り返し試行によるプライベートロスターでのリストのメンバーのメールボムを防ぐことができます。
(lp#1883017)
- スクラブされた添付ファイルの非常に長いファイル名が切り詰められるようになりました。(lp#1884456)
- プライベートログインページによるコンテンツインジェクションの脆弱性が修正されました。CVE-2020-15011(lp#1877379、bsc#1173369)
- オプションのログインページによるコンテンツインジェクションの脆弱性が、Vishal Singh氏により発見され、報告されました。
CVE-2020-12108(lp#1873722、bsc#1171363)
- 非準拠Yahoo形式のバウンス認識が追加されました。
- 一部のPythonパッケージにおいて、string.lowercaseの非ASCIIに対するアーカイブの回避策が追加されました。
- Jim Popovitch氏のおかげで、dmarc_moderation_addressesリスト設定ができました。これを使用してdmarc_moderation_actionをリストされている、またはリストされている正規表現に一致するメールFrom:アドレスに適用できます。これを使用して、From:がそれ自体の外部メールを受け入れないアドレスにメールを変更できます。
- 新しいMAX_LISTNAME_LENGTH設定があります。lp#1780874 の修正により、正当なリスト名の最大長を判別するために、インストール内のすべてのリスト名のリストが取得されされます。これはすべてのWebアクセスや非常に多数のリストがあるサイトで実行され、パフォーマンスに影響を与える可能性があります。
詳細については、Defaults.pyの説明を参照してください。
- Ralf Jung氏のおかげで、テキストベースのcaptcha(別名textchas)をlistinfoサブスクライブフォームに追加できるようになりました。これを有効にする方法については、Defaults.pyの新しいCAPTCHA設定に関するドキュメントを参照してください。注意:また、カスタムlistinfo.htmlテンプレートがある場合、これを機能させるには、これらのテンプレートに<mm-captcha-ui>タグを追加する必要があります。この機能は、2.1.26で追加されたGoogle reCAPTCHA機能と組み合わせて、またはその代わりに使用できます。
- Ralf Hildebrandt氏のおかげで、Web管理者の「Membership Management(メンバーシップ管理)」セクションに、bin/sync_membersコマンドと同様に、リストのメンバーシップを電子メールアドレスのリストと同期する機能が追加されました。
- DEFAULT_DROP_CCから設定される新しいdrop_cc list属性があります。これにより、重複回避プロセスによって配信されたメッセージのCc: ヘッダーからのアドレスの削除が制御されます。(lp#1845751)
- 新しいREFUSE_SECOND_PENDING mm_cfg.py設定があり、そのユーザーに対する保留中の確認がすでにある場合に、2番目のリクエストがリストにサブスクライブされるようになります。これを「Yes」に設定すると、サブスクライブフォームを繰り返し投稿することで、サードパーティのメールボムを防ぐことができます。
(lp#1859104)
- 同じトークンの同時確認でまれなTypeErrorをキャッチするように確認CGIを修正しました。
(lp#1785854)
- スクラブされたapplication/octet-stream MIMEパートには、.objではなく.bin拡張子が付けられるようになりました。CVE-2020-12137(lp#1886117)
- Action: errorのある非準拠のopensmtpd DSNに対するバウンス認識を追加しました。(lp#1805137)
- 一部のセキュリティログメッセージを修正および拡張しました。
(lp#1810098)
- bin/qrunner
--runner=AllにQRUNNER_SLEEP_TIMEの使用を実装しました。(lp#1818205)
- プライベートアーカイブおよびユーザーオプションページへのログイン用に提供される電子メールアドレスの先頭/末尾にあるスペースは、無視されるようになりました。 (lp#1818872)
- mailmanctlの--no-restartオプションのスペルを修正しました。
- リストの説明に含まれるcharsetと無効な文字の特定の組み合わせにより、かぎ括弧のないList-IDヘッダーが生成される問題を修正しました。(lp#1831321)
- Postfix MTAと仮想ドメインを使用して、各仮想ドメインのサイトリスト-bouncesと-requestアドレスのマッピングがdata/virtual-mailmanに追加されました(-ownerは2.1.24で行われました)。(lp#1831777)
- 利用可能な場合、paths.pyモジュールがsite.getsitepackages()の結果でsys.pathを拡張するようになりました。(lp#1838866)
- 新しいサブスクライバーに確認リクエストメッセージを送信する準備をする際にUnicodeDecodeErrorを引き起こすバグが修正されました。 (lp#1851442)
- SimpleMatchヒューリスティックバウンス認識機能が改善され、ほとんどの無効なメールアドレスが返されないようになりました。
(lp#1859011)
ソリューション
影響を受ける mailman パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 141925
ファイル名: openSUSE-2020-1707.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2020/10/27
更新日: 2024/2/13
サポートされているセンサー: Nessus Agent, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.4
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS スコアのソース: CVE-2020-12137
CVSS v3
リスクファクター: Medium
基本値: 6.5
現状値: 5.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2020-12108
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:mailman-debuginfo, p-cpe:/a:novell:opensuse:mailman, p-cpe:/a:novell:opensuse:mailman-debugsource, cpe:/o:novell:opensuse:15.2
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2020/10/22
脆弱性公開日: 2020/4/24