件名: Sympa日本語ユーザ
リストの投稿保管庫
- From: IKEDA Soji <(アドレスを隠しました)>
- To: (アドレスを隠しました)
- Subject: [users 6] Sympaセキュリティ警告 2012-001: 最新版へのアップデートを
- Date: Wed, 16 May 2012 00:28:08 +0900
Sympa を最新版にアップグレードしてください。
原文: https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00002.html
______________________________________________________________
______________ 日本語版 _______________________________________
2012-001 投稿保管庫管理におけるセキュリティホール
===========================================
1. 危険性
投稿保管庫管理ページにおける認可機構迂回の可能性
2. 影響のあるシステム
Sympaのすべてのブランチが影響を受けます。
* ブランチ6.0の、6.0.7以前のすべて。
* ブランチ6.1の、6.1.11以前のすべて。
3. 概要
シナリオに基づくSympaの投稿保管庫管理には複数の脆弱性が見つかっています。これ
はシナリオによる認可機構を出し抜くものです。
この違反により:
* 投稿保管庫管理ページ (「arc_manage」) の表示
* リスト投稿保管庫のダウンロード
* リスト投稿保管庫の削除
が可能になります。
4. 解決策
* 6.1ブランチ : 6.1.11版にアップグレードしてください。
(http://www.sympa.org/distribution/sympa-6.1.11.tar.gz)
* 6.0ブランチ : 6.0.7版にアップグレードしてください。
(http://www.sympa.org/distribution/sympa-6.0.7.tar.gz
RedHatユーザは http://sympa-ja.org/download/rhel/5/6.0/ も参照)
最新版にアップグレードできないユーザは、次の回避策をとることができます:
ウェブサーバの設定で投稿保管庫管理へのアクセスを抑止する。
より古い版はもはや保守されていません。そういった版を使っているのなら、潜在的な
攻撃を防ぐために6.1.11版または6.0.7版にアップグレードしてください。
5. リンク
Sympa 6.0.7 and 6.1.11 released
https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html
Sympa 6.1.11 released
https://www.sympa.org/#sympa_6111_released
Avis de s=E9curit=E9 Sympa 2012-001
https://www.sympa.org/security_advisories#security_breaches_in_archives_management
日本語版は以上。
-
[users 6] Sympaセキュリティ警告 2012-001: 最新版へのアップデートを,
IKEDA Soji, 2012年05月15日
- [users 7] Re: [users 6] Sympaセキュリティ警告 2012-001: 対策パッチ, IKEDA Soji, 2012年05月16日
投稿保管庫に使用しているソフトウェア: MHonArc 2.6.19+.