MiracleLinux 4mailman-2.1.12-25.AXS4 (AXSA:2015-303:01)
medium Nessus Plugin ID 289971
語言:
概要
遠端 MiracleLinux 主機缺少一個或多個安全性更新。說明
遠端 MiracleLinux 4 主機已安裝一個受到 AXSA:2015-303:01 公告中所提及的多個弱點影響的套件。Mailman 是協助管理電子郵件討論清單的軟體與 Majordomo 和 Smartmail 非常相似。與大多數類似的產品不同Mailman 會為每個郵寄清單提供一個網頁並允許使用者透過 Web 訂閱、取消訂閱等。即使是清單管理員也可以完全從 Web 管理其清單。Mailman 也整合了人們想要與郵寄清單執行的大多數動作包括封存、mail <-> 新聞閘道等等。
此版本修正的安全性問題
CVE-2002-0389 CVE-2015-2775 修正的錯誤
* 之前,無法將 Mailman 設定為使得以網域為基礎的訊息認證、報告與一致性 (DMARC) 會辨識網域金鑰認證郵件 (DKIM) 簽章的寄件者對齊。因此屬於具有拒絕 DMARC 原則之郵件伺服器 (例如 yahoo.com 或 AOL.com) 的 Mailman 清單訂閱者無法接收來自提供 DKIM 簽章之任何網域中之寄件者的 Mailman 轉送訊息。透過此更新該錯誤已獲得修正。
* 當 newlist 命令建立新的郵寄清單產生歡迎電子郵件的主旨時mailman 會使用主控台編碼。
因此當主控台編碼與 Mailman 用於該特定語言的編碼不符時歡迎電子郵件中的字元可能無法正確顯示。透過此更新該問題已獲得修正。
* rmlist 命令使用硬式編碼路徑根據 VAR_PREFIX 組態變數列出資料。因此當清單是在 VAR_PREFIX 之外建立時就無法使用 rmlist 命令將其移除。透過此更新此錯誤已獲得修正。
* 由於 Python 和 Asianux Server 4 中的 Mailman 不相容因此當仲裁者在郵寄清單中核准了一個仲裁的訊息並核取「保留給網站系統管理員的訊息」核取方塊時Mailman 無法核准訊息並傳回錯誤。此更新已修正此不相容問題。
* 當 Mailman 設為不封存清單,但封存未設為私人時,傳送至該清單的附件會放在公用封存中。
因此,mailman Web 介面的使用者可以列出私人附件,因為公用封存目錄的 httpd 組態允許列出封存目錄中的所有檔案。此更新中已修正 Mailman 的 httpd 組態。
Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的 mailman 套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 289971
檔案名稱: miracle_linux_AXSA-2015-303.nasl
版本: 1.1
類型: local
已發布: 2026/1/16
已更新: 2026/1/16
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
Vendor
Vendor Severity: Moderate
CVSS v2
風險因素: High
基本分數: 7.6
時間性分數: 6
媒介: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2015-2775
CVSS v3
風險因素: Medium
基本分數: 5.5
時間性分數: 5
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS 評分資料來源: CVE-2002-0389
弱點資訊
CPE: cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:mailman
必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2015/8/10
弱點發布日期: 2002/4/16
參考資訊
CVE: CVE-2002-0389, CVE-2015-2775