Aviso de seguridad de Debian

mailman -- debilidad en autenticación del administrador

Fecha del informe:
23 de jun de 1999
Paquetes afectados:
mailman
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 480.
En el diccionario CVE de Mitre: CVE-1999-0742.
Información adicional:
Nos han avisado de que la versión de mailman que se suministraba con Debian GNU/Linux 2.1 tenía un problema al verificar la lista de administradores. El problema residía en que la generación del valor de la cookie era previsible, así que usando cookies de autenticación olvidadas era posible acceder a la lista de páginas web de administración sin saber la contraseña apropiada. Se puede encontrar más información sobre esta vulnerabilidad en la lista de correo de los desarrolladores de python.org de junio de 1999, en el hilo de discusión "Cookie security hole in admin interface". Esto ha sido arreglado en la versión 1.0rc2-5.
Arreglado en:
alpha:
http://security.debian.org/dists/stable/updates/binary-alpha/mailman_1.0rc2-5_alpha.deb
i386:
http://security.debian.org/dists/stable/updates/binary-i386/mailman_1.0rc2-5_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/binary-m68k/mailman_1.0rc2-5_m68k.deb
sparc:
http://security.debian.org/dists/stable/updates/binary-sparc/mailman_1.0rc2-5_sparc.deb