Re: [sympa-fr] retour d'expérience migration 5.4.7 > 6.0.1 problème de password "case sensitive"

[David Verdin <adresse@cachée>]

Bonjour,

Plus d'infos seront bien volontiers données. Cela dit, pour ne pas mettre la pression aux personnes n'ayant pas encore migré, je préfère ne pas diffuser dans une liste publique le détail des vulnérabilités. J'invite ceux qui veulent des détails à me contacter personnellement.

Sinon, oui, il vaut mieux passer en 6.1.* si vous utilisez l'interface web de Sympa.

Cordialement,

David Verdin

Le 18/03/11 02:37, Emmanuel Bouthenot a écrit :

On Wed, Mar 16, 2011 at 04:32:47PM +0100, Hélène Rousset wrote:
[...]

La version 6.0.1 de debian est-elle vulnérable comme annoncée par
l'avis CERTA-2010-AVI-505 et comme annoncé sur le site de sympa?
Il semblerait que oui d'aprés les changelog dans /usr/share/doc/sympa.
Je suppose que la question est putôt à poser aux développeurs  debian.

Elle est sans aucun doute vulnérable. Comme indiqué par Jean Charles, à
moins d'avoir un coup de main des développeurs de sympa pour isoler les
commits qui ont conduit à la résolution des trous de sécurité énoncés
dans l'avis du CERTA il va être difficile de faire une correction de
sécurité pour le paquet qui est dans la version stable.

A lire l'avis du Certa, c'est la lecture du changelog et probablement la
mention :
«
Various vulnerability have been solved in 6.1.1 : cross side scripting,
cross-Site request forgeries, brute force attack, DOS.
These vulnerabilities were identified with the help of P.  Gardenat
(Rectorat de Rennes) during a security audit on Sympa.
»
qui en est à l'origine.

Plus d'infos à ce sujet serait les bienvenues :)

M.

--
David Verdin
Comité réseau des universités

Due to the limitations of human brain, I fail to remember all the mails.
So if you want your bug reports or feature requests for Sympa to be processed, please post them to the Sympa tracker

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature