Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GNU Mailman <= 2.1.20 Betroffene Plattformen: Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Workstation 6 Ein entfernter, nicht authentisierter Angreifer kann die Schwachstellen CVE-2015-2775 ausnutzen, um beliebigen Programmcode auszuführen oder Informationen auszuspähen. Die zweite Schwachstelle CVE-2002-0389 kann von einem lokalen Angreifer zum Ausspähen von Informationen genutzt werden. Für Red Hat Enterprise Linux Server 6 und Workstation 6 stehen Backport-Sicherheitsupdates bereit. Patch: Red Hat Security Advisory RHSA-2015:1417 http://rhn.redhat.com/errata/RHSA-2015-1417.html

CVE-2015-2775: Pfad-Traversal-Schwachstelle in GNU Mailman

In GNU Mailman existiert eine Pfad-Traversal-Schwachstelle, die von einem
entfernten, nicht authentisierten Angreifer ausgenutzt werden kann.

CVE-2002-0389: Schwachstelle in GNU Mailman ermöglicht das Ausspähen von
Informationen

In Mailman speichert Pipermail Archive von privaten Mailing-Listen im
allgemein einsehbaren Verzeichnis ‘mailman_root/archive/private’, welches
die Berechtigung ‘o+x’ besitzt. Dies ermöglicht einem lokalen Angreifer
private Mailing-Listen-Archive zu lesen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1129/

Schwachstelle CVE-2015-2775 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2775

Red Hat Security Advisory RHSA-2015:1417:
http://rhn.redhat.com/errata/RHSA-2015-1417.html

Schwachstelle CVE-2002-0389 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2002-0389

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.