int(2715)

Boletines de Vulnerabilidades

Vulnerabilidad de inyección CRLF en Mailman

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Integridad
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema
Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado mailman

Descripción
Se ha descubierto una vulnerabilidad de inyección CRLF en mailman.

La explotación de esta vulnerabilidad podría permitir a un atacante remoto falsear mensajes en el log de errores.

Solución


Actualización de software

Mandriva Linux

Corporate Server 3.0
X86
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/RPMS/mailman-2.1.4-2.8.C30mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/SRPMS/mailman-2.1.4-2.8.C30mdk.src.rpm
X86_64
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/x86_64/corporate/3.0/RPMS/mailman-2.1.4-2.8.C30mdk.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/x86_64/corporate/3.0/SRPMS/mailman-2.1.4-2.8.C30mdk.src.rpm

Mandriva Linux 2006
X86
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/RPMS/mailman-2.1.6-6.4.20060mdk.i586.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/2006.0/SRPMS/mailman-2.1.6-6.4.20060mdk.src.rpm
X86_64
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/x86_64/2006.0/RPMS/mailman-2.1.6-6.4.20060mdk.x86_64.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/x86_64/2006.0/SRPMS/mailman-2.1.6-6.4.20060mdk.src.rpm

Debian

Debian Linux 3.1
Source
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.1.5-8sarge5.dsc
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.1.5-8sarge5.diff.gz
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.1.5.orig.tar.gz
Alpha
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.1.5-8sarge5_alpha.deb
AMD64
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.1.5-8sarge5_amd64.deb
ARM
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.1.5-8sarge5_arm.deb
HP Precision
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.1.5-8sarge5_hppa.deb
Intel IA-32
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.1.5-8sarge5_i386.deb
Intel IA-64
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.1.5-8sarge5_ia64.deb
Motorola 680x0
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.1.5-8sarge5_m68k.deb
Big endian MIPS
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.1.5-8sarge5_mips.deb
Little endian MIPS
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.1.5-8sarge5_mipsel.deb
PowerPC
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.1.5-8sarge5_powerpc.deb
IBM S/390
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.1.5-8sarge5_s390.deb
Sun Sparc
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.1.5-8sarge5_sparc.deb

Red Hat (RHSA-2007:0779-4)
Red Hat Desktop (v. 4)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 4)
https://rhn.redhat.com/

Identificadores estándar
Propiedad Valor
CVE CVE-2006-4624
BID 19831

Recursos adicionales
Mandriva Security Advisory MDKSA-2006:165
http://www.mandriva.com/security/advisories?name=MDKSA-2006:165

Debian Security Advisory (DSA 1188-1)
http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00283.html

Red Hat Security Advisory (RHSA-2007:0779-4)
https://rhn.redhat.com/errata/RHSA-2007-0779.html

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2006-09-29
1.1 Aviso emitido por Debian (DSA 1188-1) 2006-10-13
1.2 Aviso emitido por Red Hat (RHSA-2007:0779-4) 2007-11-19

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT