Säkerhetsbulletin från Debian

mailman -- dålig administratörsautenticiering

Rapporterat den:
1999-06-23
Berörda paket:
mailman
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 480.
I Mitres CVE-förteckning: CVE-1999-0742.
Ytterligare information:
Vi har fått reda på att den version av mailman som medföljer Debian GNU/Linux 2.1 har ett problem med att verifiera listadministratörer. Problemet är att "cookie"-värdena som genereras går att förutsäga, så genom att använda förfalskade autenticierings-"cookies" var det möjligt att komma åt administrationswebbsidorna utan att känna till det korrekta lösenordet. Ytterligare information om detta finns på python.org:s mailman-utvecklarlista för juni 1999, i tråden ”Säkerhetshål i administratörsgränssnittet via kakor”. Detta problem har rättats i version 1.0rc2-5.
Rättat i:
alpha:
http://security.debian.org/dists/stable/updates/binary-alpha/mailman_1.0rc2-5_alpha.deb
i386:
http://security.debian.org/dists/stable/updates/binary-i386/mailman_1.0rc2-5_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/binary-m68k/mailman_1.0rc2-5_m68k.deb
sparc:
http://security.debian.org/dists/stable/updates/binary-sparc/mailman_1.0rc2-5_sparc.deb