セキュリティ・アドバイザリ 2015-001

提供: Sympa-JA
移動: 案内, 検索

[2015-001] Sympaセキュリティ・アドバイザリ

原文: https://www.sympa.org/security_advisories#security_breaches_in_newsletter_posting

※最新の情報は上記のページを参照ください。

目次

2015-001 ニューズレター投稿機能におけるセキュリティホール

1. 影響

サーバのファイルシステム中のファイルを送信できる。

2. 影響を受けるシステム

Sympaのすべての安定版が影響を受けます。

  • 6.0ブランチの6.0.10より前の全バージョン。
  • 6.1ブランチの6.1.24より前の全バージョン。

3. 概要

Sympaのウェブインタフェースに、サーバのファイルシステム上のファイルにアクセスできてしまう脆弱性が発見されました。

このセキュリティホールにより、Sympaソフトウェアの実行ユーザが読み取り可能なサーバファイルシステム上の任意のファイルを、Sympaウェブインタフェースのニューズレター送信機能を使って、リストまたは利用者に送信することができます。

4. 対応策

すぐに最新のバージョンにアップグレードできないユーザには、次の回避策があります。ウェブインタフェースからのメール送信を停止する。

  1. /home_sympa/default/web_tt2/compose_mail.tt2 を /home_sympa/etc/compose_mail.tt2 にコピーします。
  2. このファイルの内容のうち、ニューズレター送信に関する箇所ををコメントアウトします。


日本語訳訳注
この回避策は完全なものではありません。最新のバージョンへのアップグレードを強くお勧めします。

以前のバージョンはもはや保守されません。古いバージョンをお使いの方は、潜在的な脅威を避けるため、6.1.24か6.0.10にアップグレードするべきです。

5 - リンク

個人用ツール
名前空間

変種
操作
案内
ツール