关键漏洞信息 漏洞详情: - Mailman 中发现了一个安全漏洞,并已修复。 - 该漏洞被分配了 CVE-2015-2775。 - 更多细节和修复措施将于 2015 年 3 月 31 日公布,届时将发布针对此特定漏洞的补丁和 Mailman 2.1.20 版本。 - 漏洞报告详情请查看:https://launchpad.net/bugs/1437145 漏洞影响条件: 1. 从 MTA 传递邮件列表邮件到 Mailman 使用的是某种编程方法,而非固定别名。这包括:Exim 使用推荐的传输、Postfix 使用 postfix_to_mailman.py 传输、qmail 使用 qmail-to-mailman.py 传输。 2. 未授权用户能够在 Mailman 服务器上创建 Mailman 可访问的文件。这些文件可能在用户主目录、/tmp 或任何可通过类似路径访问的目录中,例如 。 风险最高的安装类型: 主要是通过 cPanel 使用托管服务且允许未授权用户的安装。除此之外,大多数站点可能不受影响。 修复措施: - 此漏洞通过附带文件中的补丁修复。该补丁适用于任何还没有这个补丁的 Mailman 2.1.x 版本。 - 如果您的 Mailman 版本是 2.1.11 或更高,只需应用补丁到 Mailman/Utils.py 并重启 Mailman。 - 对于 2.1.11 之前的版本,由于补丁中引用的 mm_cfg.ACCEPTABLE_LISTNAME_CHARACTERS 设置不存在,还需要添加以下内容: 添加到 Defaults.py 或 mm_cfg.py,然后重启 Mailman。