[users 6] Sympaセキュリティ警告 2012-001: 最新版へのアップデートを

[IKEDA Soji <(アドレスを隠しました)>]

Sympa を最新版にアップグレードしてください。

原文: https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00002.html

______________________________________________________________
______________ 日本語版 _______________________________________

2012-001 投稿保管庫管理におけるセキュリティホール
===========================================

1. 危険性

投稿保管庫管理ページにおける認可機構迂回の可能性

2. 影響のあるシステム

Sympaのすべてのブランチが影響を受けます。

  * ブランチ6.0の、6.0.7以前のすべて。
  * ブランチ6.1の、6.1.11以前のすべて。

3. 概要

シナリオに基づくSympaの投稿保管庫管理には複数の脆弱性が見つかっています。これ
はシナリオによる認可機構を出し抜くものです。

この違反により:

  * 投稿保管庫管理ページ (「arc_manage」) の表示
  * リスト投稿保管庫のダウンロード
  * リスト投稿保管庫の削除

が可能になります。

4. 解決策

* 6.1ブランチ : 6.1.11版にアップグレードしてください。
    (http://www.sympa.org/distribution/sympa-6.1.11.tar.gz)
* 6.0ブランチ : 6.0.7版にアップグレードしてください。
    (http://www.sympa.org/distribution/sympa-6.0.7.tar.gz
    RedHatユーザは http://sympa-ja.org/download/rhel/5/6.0/ も参照)

最新版にアップグレードできないユーザは、次の回避策をとることができます:

    ウェブサーバの設定で投稿保管庫管理へのアクセスを抑止する。

より古い版はもはや保守されていません。そういった版を使っているのなら、潜在的な
攻撃を防ぐために6.1.11版または6.0.7版にアップグレードしてください。

5. リンク

Sympa 6.0.7 and 6.1.11 released
https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html

Sympa 6.1.11 released
https://www.sympa.org/#sympa_6111_released

Avis de s=E9curit=E9 Sympa 2012-001
https://www.sympa.org/security_advisories#security_breaches_in_archives_management

日本語版は以上。