==================================================================== CERT-Renater Note d'Information No. 2012/VULN212 ____________________________________________________________________ DATE : 15/05/2012 HARDWARE PLATFORM(S): / OPERATING SYSTEM(S) : Systems running Sympa ====================================================================== Sympa security advisory 2012-001 https://www.sympa.org/security_advisories#security_breaches_in_archives_management ______________________________________________________________________ ______________ English version _________________________________ 2012-001 Security breaches in archives management 1. Threat Possibility to bypass the authorization mechanisms in the archive management page. 2. Systems Affected All Sympa branches are affected. In branch 6.0, all versions prior to 6.0.7 In branch 6.1, all versions prior to 6.1.11 3. Summary Multiple vulnerabilities have been discovered in Sympa archive management that allow to skip the scenario-based authorization mechanisms. This breach allows to: display the archives management page ('arc_manage'); download the list's archives; delete the list's archives. 4. Solution branch 6.1 : upgrade to version 6.1.11 (http://www.sympa.org/distribution/sympa-6.1.11.tar.gz) branch 6.0 : upgrade to version 6.0.7 (http://www.sympa.org/distribution/sympa-6.0.7.tar.gz or http://sympa-ja.org/download/rhel/5/6.0/ for RedHat users) Users who can't upgrade to the latest versions have the following workaround solution: preventing, through web server configuration, to access the archive management, Older versions are no longer maintained. Users of this version should upgrade to 6.1.11 or 6.0.7 to prevent potential attacks. 5 - Links Sympa 6.0.7 and 6.1.11 released https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html Sympa 6.1.11 released https://www.sympa.org/#sympa_6111_released Avis de sécurité Sympa 2012-001 https://www.sympa.org/security_advisories#security_breaches_in_archives_management ______________________________________________________________ ______________ French version _________________________________ 2012-001 Failles de sécurité dans la gestion des archives de listes 1. Risque Contournement des droits de gestion des archives 2. Systèmes affectés Toutes les branches de Sympa sont concernées. Pour la branche 6.0, versions antérieures à 6.0.7 Pour la branche 6.1, versions antérieures à 6.1.11 3. Résumé Des vulnérabilités multiples ont été découvertes dans Sympa, permettant de contourner les scénarios d'autorisation de Sympa. La faille permet : d'afficher la page de gestion des archives pour toutes les listes de télécharger tout ou partie des archives de chaque liste de supprimer tout ou partie des archives de chaque liste 4. Solution branche 6.1 : mettre à jour vers la version 6.1.11 (http://www.sympa.org/distribution/sympa-6.1.11.tar.gz) branche 6.0 : mettre à jour vers la version 6.0.7 (http://www.sympa.org/distribution/sympa-6.0.7.tar.gz ou http://sympa-ja.org/download/rhel/5/6.0/ pour RedHat) En l'absence de possibilité de mise à jour, une solution de contournement sera d'interdire l'accès aux pages de gestion des archives par le biais de la configuration web ou du réseau. Les versions antérieures ne sont plus maintenues. Les utilisateurs de ces versions sont invités à passer aux versions 6.1.11 ou 6.0.7 pour se protéger d'attaques éventuelles. 5 - Liens Sympa 6.0.7 and 6.1.11 released https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html Sympa 6.1.11 released https://www.sympa.org/#sympa_6111_released Sympa security advisory 2012-001 https://www.sympa.org/security_advisories#security_breaches_in_archives_management ====================================================================== ========================================================= Serveur de référence du CERT-Renater https://services.renater.fr/ssi/ ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 23 - 25 Rue Daviel | fax : 01-53-94-20-41 + + 75013 Paris | email: certsvp@renater.fr + =========================================================