Debian セキュリティ勧告

mailman -- 管理者の認証における不備

報告日時:
1999-06-23
影響を受けるパッケージ:
mailman
危険性:
あり
参考セキュリティデータベース:
(SecurityFocus の) Bugtraq データベース: BugTraq ID 480.
Mitre の CVE 辞書: CVE-1999-0742.
詳細:
Debian GNU/Linux 2.1 にて提供されている mailman のバージョンには、メーリングリスト管理者の認証に問題があることが判明しました。 この問題は生成されるクッキーが予測可能なことにあり、 偽装された認証クッキーを用いれば、適切なパスワードを知らなくても、 メーリングリスト管理用のウェブページへのアクセスが可能になります。 この問題に関するより詳しい情報については 1999 年 6 月の python.org mailman-developers list の "Cookie security hole in admin interface" スレッド をご覧ください。 なお、バージョン 1.0rc2-5 でこの問題は修正されています。
修正:
alpha:
http://security.debian.org/dists/stable/updates/binary-alpha/mailman_1.0rc2-5_alpha.deb
i386:
http://security.debian.org/dists/stable/updates/binary-i386/mailman_1.0rc2-5_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/binary-m68k/mailman_1.0rc2-5_m68k.deb
sparc:
http://security.debian.org/dists/stable/updates/binary-sparc/mailman_1.0rc2-5_sparc.deb