Debian-Sicherheitsankündigung

mailman -- Schwache Administrator-Authentisierung

Datum des Berichts:
23. Jun 1999
Betroffene Pakete:
mailman
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 480.
In Mitres CVE-Verzeichnis: CVE-1999-0742.
Weitere Informationen:

Uns ist zur Kenntnis gekommen, dass die Version von mailman, wie sie von Debian GNU/Linux 2.1 bereitgestellt wird, ein Problem beim Überprüfen des Listenadministrators hat. Das Problem bestand darin, dass die verwendete Cookie-Werteerzeugung vorhersagbar war, so dass ein gefälschter Authentifizierungs-Cookie zum Zugriff auf die Webseiten des Administrators verwendet werden konnte, ohne das entsprechende Passwort zu kennen. Weitere Informationen über diese Verwundbarkeit kann in der python.org Mailman-Entwicklerliste vom Juni 1999, in dem »Cookie security hole in admin interface«-Diskussionsstrang gefunden werden. Dieses Problem wurde in Version 1.0rc2-5 behoben.

Behoben in:
alpha:
http://security.debian.org/dists/stable/updates/binary-alpha/mailman_1.0rc2-5_alpha.deb
i386:
http://security.debian.org/dists/stable/updates/binary-i386/mailman_1.0rc2-5_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/binary-m68k/mailman_1.0rc2-5_m68k.deb
sparc:
http://security.debian.org/dists/stable/updates/binary-sparc/mailman_1.0rc2-5_sparc.deb