セキュリティ情報 / 1999 / セキュリティ情報 -- mailman

Debian セキュリティ勧告

mailman -- 管理者の認証における不備

報告日時:

1999-06-23

影響を受けるパッケージ:

mailman

危険性:

あり

参考セキュリティデータベース:

(SecurityFocus の) Bugtraq データベース: BugTraq ID 480.
Mitre の CVE 辞書: CVE-1999-0742.

詳細:

Debian GNU/Linux 2.1 にて提供されている mailman のバージョンには、メーリングリスト管理者の認証に問題があることが判明しました。 この問題は生成されるクッキーが予測可能なことにあり、 偽装された認証クッキーを用いれば、適切なパスワードを知らなくても、 メーリングリスト管理用のウェブページへのアクセスが可能になります。 この問題に関するより詳しい情報については 1999 年 6 月の python.org mailman-developers list の "Cookie security hole in admin interface" スレッド をご覧ください。 なお、バージョン 1.0rc2-5 でこの問題は修正されています。

修正:

alpha:

http://security.debian.org/dists/stable/updates/binary-alpha/mailman_1.0rc2-5_alpha.deb

i386:

http://security.debian.org/dists/stable/updates/binary-i386/mailman_1.0rc2-5_i386.deb

m68k:

http://security.debian.org/dists/stable/updates/binary-m68k/mailman_1.0rc2-5_m68k.deb

sparc:

http://security.debian.org/dists/stable/updates/binary-sparc/mailman_1.0rc2-5_sparc.deb