MagicLinux 4mailman-2.1.12-25.AXS4 (AXSA:2015-303:01)
medium Nessus 插件 ID 289971
语言:
简介
远程iraclelinux 主机缺少一个或多个安全更新。描述
远程iraclelinux 4 主机上存在安装的程序包该程序包受到公告 AXSA:2015-303:01 中提及的多个漏洞的影响。Mailman 是一款帮助管理电子邮件讨论列表的软件,其功能与Majordomo 和 Smartmail 极为相似。与大多数类似产品不同Mailman 为每个邮件列表提供了一个网页并允许用户通过 Web 进行订阅、取消订阅等操作。甚至列表管理员也可以完全通过 Web 管理列表。Mailman 还集成了用户想要通过邮件列表执行的大多数操作包括存档、邮件 <-> 新闻网关等。
此版本修复的安全问题
CVE-2002-0389 CVE-2015-2775 已修复缺陷
* 此前,无法在基于域的消息认证、报告和一致性 (DMARC) 可以识别符合域密钥识别邮件 (DKIM) 签名的发送方时配置 Mailman。因此属于拒绝 DMARC 策略的邮件服务器如 yahoo.com 或 AOL.com 的 Mailman 列表订阅者无法接收来自驻留在提供 DKIM 签名的任何域中的发件人的 Mailman 转发的邮件。此缺陷已通过此更新修复。
* 当 newlist 命令创建新邮件列表时Mailman 在生成欢迎电子邮件的主题时使用控制台编码。
因此当控制台编码与 Mailman 针对该特定语言使用的编码不匹配时欢迎电子邮件中的字符可能显示不正确。此更新修复了该问题。
* rmlist 命令使用硬编码路径根据 VAR_PREFIX 配置变量列出数据。因此当在 VAR_PREFIX 之外创建列表时无法使用 rmlist 命令将其删除。此缺陷已通过此更新修复。
* 由于在 Asianux Server 4 中Python 与 Mailman 存在不兼容因此当审阅人将消息批准到邮件列表并选中“为站点管理员保留消息”复选框时Mailman 会无法批准消息并返回错误。此更新已修复此不兼容性。
* 如果 Mailman 设置为不存档列表,但存档未设置为私有,那么发送至该列表的附件会放置于公共存档中。
因此,由于公共存档目录的 httpd 配置允许列出存档目录中的所有文件,Mailman web 界面的用户可以列出私人附件。此更新已修复 Mailman 的 httpd 配置。
Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的 mailman 程序包。另见
插件详情
严重性: Medium
ID: 289971
文件名: miracle_linux_AXSA-2015-303.nasl
版本: 1.1
类型: local
发布时间: 2026/1/16
最近更新时间: 2026/1/16
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
Vendor
Vendor Severity: Moderate
CVSS v2
风险因素: High
基本分数: 7.6
时间分数: 6
矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2015-2775
CVSS v3
风险因素: Medium
基本分数: 5.5
时间分数: 5
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2002-0389
漏洞信息
CPE: cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:mailman
必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2015/8/10
漏洞发布日期: 2002/4/16
参考资料信息
CVE: CVE-2002-0389, CVE-2015-2775