CentOS 7:mailman (CESA-2015:1153)
high Nessus 插件 ID 84347
语言:
简介
远程 CentOS 主机缺少安全更新。描述
更新后的 mailman 程序包修复了一个安全问题和若干缺陷,现在可用于 Red Hat Enterprise Linux 7。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。
Mailman 是一款用于帮助管理电子邮件讨论列表的程序。
已发现,mailman 未在将列表传递到特定 MTA 之前审查其名称。本地攻击者可利用此缺陷,以运行 mailman 的用户的身份执行任意代码。(CVE-2015-2775)
此更新还修复以下缺陷:
* 此前,无法在基于域的消息认证、报告和一致性 (DMARC) 可以识别符合域密钥识别邮件 (DKIM) 签名的发送方时配置 Mailman。因此,使用 DMARC 的“reject”策略的邮件服务器(例如,yahoo.com 或 AOL.com)所包含的 Mailman 列表订阅者无法从驻留在提供 DKIM 签名的任何域中的发送方接收 Mailman 转发的消息。通过此更新,可正确识别使用“reject”DMARC 策略的域, Mailman 列表管理员也能够配置处理这些消息的方式。因此,完成适当配置后,订阅者现在可以在这种情况下正确接收 Mailman 转发的消息。(BZ#1229288)
* 此前,/etc/mailman 文件未正确设置权限,从而导致在某些情况下删除 Mailman 列表失败,因为“NoneType”对象没有属性“close”消息。通过此更新, /etc/mailman 的权限值正确设置为 2775 而非 0755,删除 Mailman 列表现在可以正常执行。(BZ#1229307)
* 在此更新之前,mailman 实用工具未将临时文件配置正确安装到 /etc/tmpfiles.d/ 目录中。因此,如果重新安装或更新 mailman 程序包,将覆盖对 mailman 临时文件配置所做的更改。mailman 实用工具现在将临时文件配置安装到 /usr/lib/tmpfiles.d/ 目录中,并保留用户对其所做的更改以用于重新安装或更新。(BZ#1229306)
建议所有 mailman 用户升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序。
解决方案
更新受影响的 mailman 程序包。另见
插件详情
严重性: High
ID: 84347
文件名: centos_RHSA-2015-1153.nasl
版本: 2.8
类型: local
代理: unix
发布时间: 2015/6/24
最近更新时间: 2021/1/4
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: High
基本分数: 7.6
时间分数: 5.6
矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2015-2775
漏洞信息
CPE: p-cpe:/a:centos:centos:mailman, cpe:/o:centos:centos:7
必需的 KB 项: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2015/6/23
漏洞发布日期: 2015/4/13
参考资料信息
CVE: CVE-2015-2775
BID: 73922
RHSA: 2015:1153