Säkerhetsbulletin från Debian

DSA-147-1 mailman -- serveröverskridande skriptsårbarhet

Rapporterat den:

2002-08-08

Berörda paket:

Sårbara:

Referenser i säkerhetsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 4825, BugTraq-id 4826, BugTraq-id 5298.
I Mitres CVE-förteckning: CVE-2002-0388, CVE-2002-0855.

Ytterligare information:

Ett serveröverskridande skriptproblem upptäcktes i mailman, ett program som hanterar sändlistor. När speciellt skrivna webbadresser hämtas via Internet Explorer (andra webbläsare verkar inte vara påverkade) ritas webbsidan på ett sätt som liknar originalet, men dessutom exekveras javascriptkomponenten, vilket kan användas för en angripare för att få tillgång till känslig information. Den nya versionen för Debian 2.2 innehåller även bakåtanpassningar för säkerhetsrelaterade patchar från mailman 2.0.11.

Detta problem har rättats i version 2.0.11-1woody4 för den aktuella stabila utgåvan (Woody), i version 1.1-10.1 för den gamla stabila utgåvan (Potato) samt i version 2.0.12-1 för den instabila utgåvan (Sid).

Vi rekommenderar att ni uppgraderar ert mailman-paket.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:: http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1.dsc; http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1.diff.gz; http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_sparc.deb

Debian GNU/Linux 3.0 (woody)

Källkod:: http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4.dsc; http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4.diff.gz; http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_ia64.deb
HP Precision:: http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.

MD5-kontrollsummor för dessa filer finns i reviderade bulletinen.