Debian-Sicherheitsankündigung
mailman -- Schwache Administrator-Authentisierung
- Datum des Berichts:
- 23. Jun 1999
- Betroffene Pakete:
- mailman
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 480.
In Mitres CVE-Verzeichnis: CVE-1999-0742. - Weitere Informationen:
-
Uns ist zur Kenntnis gekommen, dass die Version von mailman, wie sie von Debian GNU/Linux 2.1 bereitgestellt wird, ein Problem beim Überprüfen des Listenadministrators hat. Das Problem bestand darin, dass die verwendete Cookie-Werteerzeugung vorhersagbar war, so dass ein gefälschter Authentifizierungs-Cookie zum Zugriff auf die Webseiten des Administrators verwendet werden konnte, ohne das entsprechende Passwort zu kennen. Weitere Informationen über diese Verwundbarkeit kann in der python.org Mailman-Entwicklerliste vom Juni 1999, in dem »Cookie security hole in admin interface«-Diskussionsstrang gefunden werden. Dieses Problem wurde in Version 1.0rc2-5 behoben.
- Behoben in:
-
- alpha:
- http://security.debian.org/dists/stable/updates/binary-alpha/mailman_1.0rc2-5_alpha.deb
- i386:
- http://security.debian.org/dists/stable/updates/binary-i386/mailman_1.0rc2-5_i386.deb
- m68k:
- http://security.debian.org/dists/stable/updates/binary-m68k/mailman_1.0rc2-5_m68k.deb
- sparc:
- http://security.debian.org/dists/stable/updates/binary-sparc/mailman_1.0rc2-5_sparc.deb