検出

Oracle Linux 7:mailman(ELSA-2015-1153)

high Nessus プラグイン ID 84353

Language:

概要

リモート Oracle Linux ホストにセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2015:1153 から:

1 つのセキュリティ問題および複数のバグを修正する更新済み mailman パッケージが、 Red Hat Enterprise Linux 7 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

Mailman は、メールのディスカッションリストの管理をサポートする際に使用されるプログラムです。

mailman が、特定の MTA にリスト名を渡す前に、サニタイズしていないことが判明しました。ローカルの攻撃者はこの欠陥を利用して、 mailman を実行しているユーザーとして任意のコードを実行できます。(CVE-2015-2775)

この更新は以下のバグも修正します:

* 以前では、Domain-based Message Authentication、Reporting & Conformance(DMARC)が、Domain Key Identified Mail(DKIM)署名の送信者アライメントを認識する方法で、Mailman を構成することができませんでした。結果、yahoo.com または AOL.com など、DMARC の「拒否」ポリシーを持つメールサーバーに属する mailman リストサブスクライバは、 DKIM 署名を提供したドメインすべてに存在する送信者から、mailman により転送されたメッセージを受信することができませんでした。この更新を適用することで、「拒否」DMARC ポリシーを持つドメインが適切に認識されるようになり、mailman リストの管理者は、これらのメッセージが処理される方法を構成できるようになります。結果として、適切な構成を行った後では、サブスクライバは、このようなシナリオでも mailman が転送したメッセージを適切に受信することができるようになります。(BZ#1229288)

* 以前では、/etc/mailman ファイルは不適切に権限を設定していました。これにより、場合によっては、属性「close」メッセージの原因でなく、Mailman リストの削除が、「NoneType」オブジェクトで失敗します。この更新では、 /etc/mailman の権限値は 0755 ではなく、2775 に適切に設定され、mailman リストの削除は正常に動作します。(BZ#1229307)

* この更新以前では、mailman ユーティリティが /etc/tempfiles.d/ ディレクトリに tmpfiles 構成を不適切にインストールしていました。結果として、 mailman tmpfiles 構成に行われた変更は、mailman パッケージが再インストールまたは更新されると、上書きされていました。mailman ユーティリティは、/usr/lib/tempfiles.d ディレクトリに tempfiles 構成をインストールするようになり、これらに対してユーザーが行った変更は、再インストールまたは更新に保存されます。(BZ#1229306)

mailman の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。

ソリューション

影響を受ける mailman パッケージを更新してください。

参考資料

https://oss.oracle.com/pipermail/el-errata/2015-June/005143.html

プラグインの詳細

深刻度: High

ID: 84353

ファイル名: oraclelinux_ELSA-2015-1153.nasl

バージョン: 2.9

タイプ: local

エージェント: unix

公開日: 2015/6/24

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: High

基本値: 7.6

現状値: 5.6

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:oracle:linux:mailman, cpe:/o:oracle:linux:7

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/6/23

脆弱性公開日: 2015/4/13

参照情報

CVE: CVE-2015-2775

BID: 73922

RHSA: 2015:1153