製品アップデートのお知らせ

Mailman の以下のセキュリティ脆弱性を修正しました。

• CVE-2021-42096
• CVE-2021-42097
• CVE-2021-44227

対象

• Mailman 2.1
  • osstech-mailman-2.1.38-81より以前のバージョン

問題の概要

1. CVE-2021-42096

CSRF トークンがリスト管理者パスワードから生成されているため、オフライン攻撃によりパスワードが導出される可能性がある脆弱性を修正しました。 悪意のあるユーザーがMailmanのWebサイトにアクセス可能な場合に攻撃に利用される恐れがあります。

2. CVE-2021-42097

CSRF トークンをリスト会員ごとに生成していないため、リスト管理者に対する　CSRF 攻撃に利用可能な脆弱性を修正しました。 悪意のあるユーザーが Mailman リストに入会済みで、Mailman の Web サイトへのアクセスが可能な場合に攻撃に利用される恐れがあります。

3. CVE-2021-44227

リスト会員あるいはリスト司会者がリスト管理者に対して CSRF 攻撃することで、リスト管理者パスワードを上書き設定が可能となる脆弱性を修正しました。 悪意のあるユーザーがMailmanのWebサイトにアクセス可能な場合に攻撃に利用される恐れがあります。

アップデートパッケージの入手方法

お客様がご利用中の Mailman の環境について、下記の動作 OS、ご利用中のMailmanのバージョンの情報をご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。

OS について

• Red Hat Enterprise Linux 7 / CentOS 7 (x86-64)
• Red Hat Enterprise Linux 8 / CentOS 8 (x86-64)

Mailman のバージョンについて

下記のコマンドでご確認ください。

$ rpm -q osstech-mailman