Scientific Linux 安全更新：SL7.x x86_64 中的 mailman

high Nessus 插件 ID 84537

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

--

* 已发现，mailman 未在将列表传递到特定 MTA 之前审查其名称。本地攻击者可利用此缺陷，以运行 mailman 的用户的身份执行任意代码。(CVE-2015-2775)

* 此前，无法在基于域的消息认证、报告和一致性 (DMARC) 可以识别符合域密钥识别邮件 (DKIM) 签名的发送方时配置 Mailman。因此，使用 DMARC 的“reject”策略的邮件服务器（例如，yahoo.com 或 AOL.com）所包含的 Mailman 列表订阅者无法从驻留在提供 DKIM 签名的任何域中的发送方接收 Mailman 转发的消息。通过此更新，可正确识别使用“reject”DMARC 策略的域， Mailman 列表管理员也能够配置处理这些消息的方式。因此，完成适当配置后，订阅者现在可以在这种情况下正确接收 Mailman 转发的消息。(BZ#1229288)

* 此前，/etc/mailman 文件未正确设置权限，从而导致在某些情况下删除 Mailman 列表失败，因为“NoneType”对象没有属性“close”消息。通过此更新， /etc/mailman 的权限值正确设置为 2775 而非 0755，删除 Mailman 列表现在可以正常执行。(BZ#1229307)

* 在此更新之前，mailman 实用工具未将临时文件配置正确安装到 /etc/tmpfiles.d/ 目录中。因此，如果重新安装或更新 mailman 程序包，将覆盖对 mailman 临时文件配置所做的更改。mailman 实用工具现在将临时文件配置安装到 /usr/lib/tmpfiles.d/ 目录中，并保留用户对其所做的更改以用于重新安装或更新。(BZ#1229306)

建议所有 mailman 用户升级这些更新后的程序包，其中包含用于修正这些问题的向后移植的修补程序。