製品・ソフトウェアに関する情報

JVN脆弱性詳細

GNU Mailman におけるディレクトリトラバーサルの脆弱性

Title	GNU Mailman におけるディレクトリトラバーサルの脆弱性
Summary	GNU Mailman には、静的なエイリアスを使用していない場合、ディレクトリトラバーサルの脆弱性が存在します。
Possible impacts	第三者により、.. (ドットドット) を含むリスト名を介して、任意のファイルを実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	March 31, 2015, midnight
Registration Date	April 15, 2015, 2:20 p.m.
Last Update	July 9, 2015, 6:13 p.m.

Affected System

GNU Project

GNU Mailman 2.1.20 未満

Debian

Debian GNU/Linux 7.0

Canonical

Ubuntu 12.04 LTS

Ubuntu 14.04 LTS

Ubuntu 14.10

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-2775	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2775
National Vulnerability Database (NVD)
2	CVE-2015-2775	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2775

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	Name	URL
Debian Security Advisory
1	DSA-3214	http://www.debian.org/security/2015/dsa-3214
Launchpad
2	Bug #1437145	https://bugs.launchpad.net/mailman/+bug/1437145
Red Hat Security Advisory
3	RHSA-2015:1153	https://rhn.redhat.com/errata/RHSA-2015-1153.html
Ubuntu Security Notice
4	USN-2558-1	http://www.ubuntu.com/usn/USN-2558-1

Change Log

No	Changed Details	Date of change
0	[2015年04月15日] 掲載 [2015年07月09日] ベンダ情報：レッドハット (RHSA-2015:1153) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2015-2775

Summary	Directory traversal vulnerability in GNU Mailman before 2.1.20, when not using a static alias, allows remote attackers to execute arbitrary files via a .. (dot dot) in a list name.
Publication Date	April 13, 2015, 11:59 p.m.
Registration Date	Jan. 26, 2021, 2:48 p.m.
Last Update	Nov. 21, 2024, 11:28 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:redhat:enterprise_linux:7.0:::::::*
cpe:2.3:o:canonical:ubuntu_linux:12.04::::lts:::
cpe:2.3:o:debian:debian_linux:7.0:::::::*
cpe:2.3:o:canonical:ubuntu_linux:14.10:::::::*
cpe:2.3:o:canonical:ubuntu_linux:14.04::::lts:::

Configuration2		or higher	or less	more than	less than
cpe:2.3:a:gnu:mailman::::::::			2.1.19

Related information, measures and tools

No	URL	タグ
1	http://lists.fedoraproject.org/pipermail/package-announce/2015-April/154911.html
2	http://lists.fedoraproject.org/pipermail/package-announce/2015-April/154911.html
3	http://lists.fedoraproject.org/pipermail/package-announce/2015-April/156742.html
4	http://lists.fedoraproject.org/pipermail/package-announce/2015-April/156742.html
5	http://rhn.redhat.com/errata/RHSA-2015-1153.html
6	http://rhn.redhat.com/errata/RHSA-2015-1153.html
7	http://rhn.redhat.com/errata/RHSA-2015-1417.html
8	http://rhn.redhat.com/errata/RHSA-2015-1417.html
9	http://www.debian.org/security/2015/dsa-3214
10	http://www.debian.org/security/2015/dsa-3214
11	http://www.securityfocus.com/bid/73922
12	http://www.securityfocus.com/bid/73922
13	http://www.securitytracker.com/id/1032033
14	http://www.securitytracker.com/id/1032033
15	http://www.ubuntu.com/usn/USN-2558-1
16	http://www.ubuntu.com/usn/USN-2558-1
17	https://bugs.launchpad.net/mailman/+bug/1437145
18	https://bugs.launchpad.net/mailman/+bug/1437145
19	https://mail.python.org/pipermail/mailman-announce/2015-March/000209.html
20	https://mail.python.org/pipermail/mailman-announce/2015-March/000209.html
21	https://mail.python.org/pipermail/mailman-developers/2015-March/024871.html	Vendor Advisory
22	https://mail.python.org/pipermail/mailman-developers/2015-March/024871.html	Vendor Advisory
23	https://mail.python.org/pipermail/mailman-developers/2015-March/024875.html	Exploit
24	https://mail.python.org/pipermail/mailman-developers/2015-March/024875.html	Exploit

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html