• 注册
  • 云计算 云计算 关注:3 内容:1145

    云安全日报211125:红帽Mailman电子邮件软件发现跨站请求伪造漏洞,需要尽快升级

  • 查看作者
  • 打赏作者
  • 当前位置: 职业司 > 资讯 > 云计算 > 正文
    • 云计算
    • GNU Mailman是GNU项目的一套免费的用于管理电子邮件讨论和电子邮件列表的软件。该软件可与Web项目集成,使用户方便管理邮件订阅帐号,并提供内置归档、自动转发处理、内容过滤和反垃圾过滤器等功能。

      11月24日,RedHat发布了安全更新,修复了红帽Mailman电子邮件软件中发现的跨站请求伪造漏洞。以下是漏洞详情:

      漏洞详情

      来源: 链接

      1.CVE-2021-42097 CVSS评分:8.0 严重程度:重要

      由于 CSRF 令牌绕过,可以在mailman中执行跨站点请求伪造 (CSRF) 攻击。CSRF 令牌不会针对正确的用户进行检查,一个用户创建的令牌可以被另一个用户用来执行请求,从而有效地绕过了 CSRF 令牌提供的保护。在mailman系统上拥有帐户的远程攻击者可以利用此漏洞执行CSRF攻击并代表受害用户执行操作。

      2.CVE-2021-42096 CVSS评分:4.3 严重程度:重要

      敏感信息在邮递员中暴露给非特权用户。列表管理员密码的哈希值用于派生 CSRF(跨站点请求伪造)令牌,该令牌暴露给列表的非特权成员。恶意成员可能会使用 CSRF 令牌执行离线暴力攻击以检索列表管理员密码。

      受影响产品和版本

      Red Hat Enterprise Linux for x86_64 – Extended Update Support 8.4 x86_64

      Red Hat Enterprise Linux Server – AUS 8.4 x86_64

      Red Hat Enterprise Linux for IBM z Systems – Extended Update Support 8.4 s390x

      Red Hat Enterprise Linux for Power, little endian – Extended Update Support 8.4 ppc64le

      Red Hat Enterprise Linux Server – TUS 8.4 x86_64

      Red Hat Enterprise Linux for ARM 64 – Extended Update Support 8.4 aarch64

      Red Hat Enterprise Linux Server (for IBM Power LE) – Update Services for SAP Solutions 8.4 ppc64le

      Red Hat Enterprise Linux Server – Update Services for SAP Solutions 8.4 x86_64

      解决方案

      RedHat Mailman:2.1 模块的更新现在可用于 Red Hat Enterprise Linux 8.4 扩展更新支持。

      有关如何应用此更新(包括本公告中描述的更改)的详细信息,请参阅:

      链接

      查看更多漏洞信息 以及升级请访问官网:

      链接

      请登录之后再进行评论

      登录

      手机阅读天地(APP)

      • 微信公众号
      • 微信小程序
      • 安卓APP
      手机浏览,惊喜多多
      匿名树洞,说我想说!
      问答悬赏,VIP可见!
      密码可见,回复可见!
      即时聊天、群聊互动!
      宠物孵化,赠送礼物!
      动态像框,专属头衔!
      挑战/抽奖,金币送不停!
      赶紧体会下,不会让你失望!
    • 实时动态
    • 签到
    • 做任务
    • 发表内容
    • 偏好设置
    • 到底部
    • 帖子间隔 侧栏位置: