Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (08.04.2015):
Für die Distributionen Ubuntu 14.10, Ubuntu 14.04 LTS, Ubuntu 12.04 LTS
und Debian Wheezy (7.7) stehen Sicherheitsupdates bereit.
Version 1 (02.04.2015):
Neues Advisory

Betroffene Software:

GNU Mailman < 2.1.20 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Debian Linux 7.7 Wheezy Red Hat Fedora 21 Red Hat Fedora 22 Ein lokaler, nicht authentisierter Angreifer kann die Schwachstelle zum Ausspähen von Informationen nutzen. Für die Distributionen Fedora 21 und Fedora 22 stehen Sicherheitsupdates auf die Mailman Version 2.1.20 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2015-5216 https://admin.fedoraproject.org/updates/FEDORA-2015-5216/mailman-2.1.20-1.fc21

Patch:

Fedora Security Update FEDORA-2015-5333

https://admin.fedoraproject.org/updates/FEDORA-2015-5333/mailman-2.1.20-1.fc22

Patch:

Debian Security Advisory DSA-3214-1

https://www.debian.org/security/2015/dsa-3214

Patch:

Ubuntu Security Notice USN-2558-1

http://www.ubuntu.com/usn/usn-2558-1/

CVE-2015-2775: Pfad-Traversal-Schwachstelle in GNU Mailman

In GNU Mailman existiert eine Pfad-Traversal-Schwachstelle, die von einem
lokalen Angreifer ausgenutzt werden kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0457/

Fedora Security Update FEDORA-2015-5216:
https://admin.fedoraproject.org/updates/FEDORA-2015-5216/mailman-2.1.20-1.fc21

Fedora Security Update FEDORA-2015-5333:
https://admin.fedoraproject.org/updates/FEDORA-2015-5333/mailman-2.1.20-1.fc22

Schwachstelle CVE-2015-2775 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2775

Debian Security Advisory DSA-3214-1:
https://www.debian.org/security/2015/dsa-3214

Ubuntu Security Notice USN-2558-1:
http://www.ubuntu.com/usn/usn-2558-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.