Anomalie #867: Fwd: [sympa-announce] 2012-001 Security breaches in archives management - Admins - Gestionnaire de projets de l'April

Actions

Copier le lien

Anomalie #867

fermé

Demande #966: Résorber les problèmes d'exploitation de sympa

Fwd: [sympa-announce] 2012-001 Security breaches in archives management

Ajouté par Vincent-Xavier JUMEL il y a environ 12 ans. Mis à jour il y a presque 10 ans.

Statut:

Rejeté

Priorité:

Immédiate

Assigné à:

Vincent-Xavier JUMEL

Catégorie:

Task

Version cible:

Juillet 2014

Début:

03/12/2016

Echéance:

% réalisé:

100%

Temps estimé:

Difficulté:

2 Facile

Description

-------- Message original --------
Objet: [sympa-announce] 2012-001 Security breaches in archives
management
Date: 15.05.2012 16:37
De: David Verdin <david.verdin@renater.fr>
À: sympa-announce@listes.renater.fr
Répondre à: sympa-authors@cru.fr

______________________________________________________
  ______ English version _________________________

2012-001 SECURITY BREACHES IN ARCHIVES MANAGEMENT

1. THREAT

Possibility to bypass the authorization mechanisms in the archive
management page.

2. SYSTEMS AFFECTED

All Sympa branches are affected.

In branch 6.0, all versions prior to 6.0.7
In branch 6.1, all versions prior to 6.1.11

3. SUMMARY

Multiple vulnerabilities have been discovered in Sympa archive
management that allow to skip the scenario-based authorization
mechanisms.

This breach allows to:

display the archives management page ('arc_manage');
download the list's archives;
delete the list's archives.

4. SOLUTION

branch 6.1 : upgrade to version 6.1.11
(http://www.sympa.org/distribution/sympa-6.1.11.tar.gz [1])

branch 6.0 : upgrade to version 6.0.7
(http://www.sympa.org/distribution/sympa-6.0.7.tar.gz [2] or
http://sympa-ja.org/download/rhel/5/6.0/ [3] for RedHat users)

Users who can't upgrade to the latest versions have the following
workaround solution: preventing, through web server configuration, to
access the archive management,

Older versions are no longer maintained. Users of this version should
upgrade to 6.1.11 or 6.0.7 to prevent potential attacks.

5 - LINKS

Sympa 6.0.7 and 6.1.11 released

https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html
[4]

Sympa 6.1.11 released
  https://www.sympa.org/#sympa_6111_released [5]

Avis de sécurité Sympa 2012-001

https://www.sympa.org/security_advisories#security_breaches_in_archives_management
[6]

______________________________________________________
  ______ French version _________________________

2012-001 FAILLES DE SCURIT DANS LA GESTION DES ARCHIVES DE LISTES

1. RISQUE

Contournement des droits de gestion des archives

2. SYSTMES AFFECTS

Toutes les branches de Sympa sont concernées.

Pour la branche 6.0, versions antérieures à 6.0.7
Pour la branche 6.1, versions antérieures à 6.1.11

3. RSUM

Des vulnérabilités multiples ont été découvertes dans Sympa,
permettant de contourner les scénarios d'autorisation de Sympa.

La faille permet :

d'afficher la page de gestion des archives pour toutes les listes
de télécharger tout ou partie des archives de chaque liste
de supprimer tout ou partie des archives de chaque liste

4. SOLUTION

branche 6.1 : mettre à jour vers la version 6.1.11
(http://www.sympa.org/distribution/sympa-6.1.11.tar.gz [7]) * branche 6.0 : mettre à jour vers la version 6.0.7
(http://www.sympa.org/distribution/sympa-6.0.7.tar.gz [8] ou
http://sympa-ja.org/download/rhel/5/6.0/ [9] pour RedHat)

En l'absence de possibilité de mise à jour, une solution de
contournement sera d'interdire l'accès aux pages de gestion des
archives par le biais de la configuration web ou du réseau.

Les versions antérieures ne sont plus maintenues. Les utilisateurs de
ces versions sont invités à passer aux versions 6.1.11 ou 6.0.7 pour
se protéger d'attaques éventuelles.

5 - LIENS

Sympa 6.0.7 and 6.1.11 released

https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html
[10]

Sympa 6.1.11 released
  https://www.sympa.org/#sympa_6111_released [11]

Sympa security advisory 2012-001

https://www.sympa.org/security_advisories#security_breaches_in_archives_management
[12]

Links:
------
[1] http://www.sympa.org/distribution/sympa-6.1.11.tar.gz
[2] http://www.sympa.org/distribution/sympa-6.0.7.tar.gz
[3] http://sympa-ja.org/download/rhel/5/6.0/
[4]
https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html
[5] https://www.sympa.org/#sympa_6111_released
[6]
https://www.sympa.org/security_advisories#security_breaches_in_archives_management
[7] http://www.sympa.org/distribution/sympa-6.1.11.tar.gz
[8] http://www.sympa.org/distribution/sympa-6.0.7.tar.gz
[9] http://sympa-ja.org/download/rhel/5/6.0/
[10]
https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html
[11] https://www.sympa.org/#sympa_6111_released
[12]
https://www.sympa.org/security_advisories#security_breaches_in_archives_management

Fichiers

smime.p7s (4,28 ko) smime.p7s

Vincent-Xavier JUMEL, 18/05/2012 10:26

Actions

Copier le lien

Formats disponibles : Atom PDF

Projet

Général

Profil

Admins

Rapports personnalisés

Observateurs (1)

Anomalie #867

Fwd: [sympa-announce] 2012-001 Security breaches in archives management

Mis à jour par Loïc Dachary il y a plus de 11 ans

Mis à jour par Loïc Dachary il y a plus de 11 ans

Mis à jour par Loïc Dachary il y a plus de 11 ans

Mis à jour par Loïc Dachary il y a plus de 11 ans

Mis à jour par Loïc Dachary il y a plus de 11 ans

Mis à jour par Loïc Dachary il y a plus de 11 ans

Mis à jour par Loïc Dachary il y a plus de 11 ans

Mis à jour par Loïc Dachary il y a plus de 11 ans

Mis à jour par Loïc Dachary il y a plus de 11 ans

Mis à jour par Loïc Dachary il y a plus de 11 ans

Mis à jour par Loïc Dachary il y a plus de 11 ans

Mis à jour par Loïc Dachary il y a plus de 11 ans

Mis à jour par Frédéric Couchet il y a plus de 10 ans

Mis à jour par Vincent-Xavier JUMEL il y a presque 10 ans

Mis à jour par Vincent-Xavier JUMEL il y a presque 10 ans