Anomalie #867
ferméDemande #966: Résorber les problèmes d'exploitation de sympa
Fwd: [sympa-announce] 2012-001 Security breaches in archives management
100%
Description
-------- Message original --------
Objet: [sympa-announce] 2012-001 Security breaches in archives
management
Date: 15.05.2012 16:37
De: David Verdin <david.verdin@renater.fr>
À: sympa-announce@listes.renater.fr
Répondre à: sympa-authors@cru.fr
______________________________________________________
______ English version _________________________2012-001 SECURITY BREACHES IN ARCHIVES MANAGEMENT
1. THREATPossibility to bypass the authorization mechanisms in the archive
management page.2. SYSTEMS AFFECTEDAll Sympa branches are affected.- In branch 6.0, all versions prior to 6.0.7
- In branch 6.1, all versions prior to 6.1.11
3. SUMMARYMultiple vulnerabilities have been discovered in Sympa archive
management that allow to skip the scenario-based authorization
mechanisms.This breach allows to:- display the archives management page ('arc_manage');
- download the list's archives;
- delete the list's archives.
4. SOLUTION- branch 6.1 : upgrade to version 6.1.11
(http://www.sympa.org/distribution/sympa-6.1.11.tar.gz [1])
- branch 6.0 : upgrade to version 6.0.7
(http://www.sympa.org/distribution/sympa-6.0.7.tar.gz [2] or
http://sympa-ja.org/download/rhel/5/6.0/ [3] for RedHat users)
Users who can't upgrade to the latest versions have the following
workaround solution: preventing, through web server configuration, to
access the archive management,Older versions are no longer maintained. Users of this version should
upgrade to 6.1.11 or 6.0.7 to prevent potential attacks.5 - LINKSSympa 6.0.7 and 6.1.11 releasedhttps://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html
[4]
Sympa 6.1.11 released
https://www.sympa.org/#sympa_6111_released [5]Avis de sécurité Sympa 2012-001https://www.sympa.org/security_advisories#security_breaches_in_archives_management
[6]
______________________________________________________
______ French version _________________________2012-001 FAILLES DE SCURIT DANS LA GESTION DES ARCHIVES DE LISTES
1. RISQUE
Contournement des droits de gestion des archives2. SYSTMES AFFECTS
Toutes les branches de Sympa sont concernées.- Pour la branche 6.0, versions antérieures à 6.0.7
- Pour la branche 6.1, versions antérieures à 6.1.11
3. RSUM
Des vulnérabilités multiples ont été découvertes dans Sympa,
permettant de contourner les scénarios d'autorisation de Sympa.La faille permet :- d'afficher la page de gestion des archives pour toutes les listes
- de télécharger tout ou partie des archives de chaque liste
- de supprimer tout ou partie des archives de chaque liste
4. SOLUTION
- branche 6.1 : mettre à jour vers la version 6.1.11
(http://www.sympa.org/distribution/sympa-6.1.11.tar.gz [7]) * branche 6.0 : mettre à jour vers la version 6.0.7
(http://www.sympa.org/distribution/sympa-6.0.7.tar.gz [8] ou
http://sympa-ja.org/download/rhel/5/6.0/ [9] pour RedHat)
En l'absence de possibilité de mise à jour, une solution de
contournement sera d'interdire l'accès aux pages de gestion des
archives par le biais de la configuration web ou du réseau.Les versions antérieures ne sont plus maintenues. Les utilisateurs de
ces versions sont invités à passer aux versions 6.1.11 ou 6.0.7 pour
se protéger d'attaques éventuelles.5 - LIENS
Sympa 6.0.7 and 6.1.11 releasedhttps://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html
[10]
Sympa 6.1.11 released
https://www.sympa.org/#sympa_6111_released [11]Sympa security advisory 2012-001https://www.sympa.org/security_advisories#security_breaches_in_archives_management
[12]
Links:
------
[1] http://www.sympa.org/distribution/sympa-6.1.11.tar.gz
[2] http://www.sympa.org/distribution/sympa-6.0.7.tar.gz
[3] http://sympa-ja.org/download/rhel/5/6.0/
[4]
https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html
[5] https://www.sympa.org/#sympa_6111_released
[6]
https://www.sympa.org/security_advisories#security_breaches_in_archives_management
[7] http://www.sympa.org/distribution/sympa-6.1.11.tar.gz
[8] http://www.sympa.org/distribution/sympa-6.0.7.tar.gz
[9] http://sympa-ja.org/download/rhel/5/6.0/
[10]
https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html
[11] https://www.sympa.org/#sympa_6111_released
[12]
https://www.sympa.org/security_advisories#security_breaches_in_archives_management
Fichiers
Mis à jour par Loïc Dachary il y a plus de 11 ans
- Catégorie mis à Task
- Difficulté mis à 2 Facile
Mis à jour par Loïc Dachary il y a plus de 11 ans
- Difficulté changé de 2 Facile à 3 Moyen
Mis à jour par Loïc Dachary il y a plus de 11 ans
- Difficulté changé de 3 Moyen à 2 Facile
Mis à jour par Loïc Dachary il y a plus de 11 ans
- Version cible changé de Backlog à Janvier 2013
Mis à jour par Loïc Dachary il y a plus de 11 ans
- Version cible changé de Janvier 2013 à Backlog
Mis à jour par Loïc Dachary il y a plus de 11 ans
- Version cible changé de Backlog à Avril 2013
Mis à jour par Frédéric Couchet il y a plus de 10 ans
- Version cible changé de Avril 2013 à Backlog
Mis à jour par Vincent-Xavier JUMEL il y a presque 10 ans
- Statut changé de Nouveau à Rejeté
- % réalisé changé de 0 à 100
Mis à jour par Vincent-Xavier JUMEL il y a presque 10 ans
- Version cible changé de Backlog à Juillet 2014