Porada dotycząca bezpieczeństwa Debiana

DSA-436-1 mailman -- kilka naruszeń bezpieczeństwa

Data Zgłoszenia:
08.02.2004
Narażone Pakiety:
mailman
Podatny:
Tak
Odnośniki do baz danych na temat bezpieczeństwa:
Baza danych Bugtraq (SecurityFocus): Nr BugTraq 9336, Nr BugTraq 9620.
W słowniku CVE Mitre-a CVE-2003-0991, CVE-2003-0965, CVE-2003-0038.
Więcej informacji:

Wyeliminowano kilka naruszeń bezpieczeństwa w pakiecie mailman:

  • CAN-2003-0038 - potencjalny błąd typu cross-site scripting poprzez pewne parametry CGI (nie jest znane wykorzystanie błędu w tej wersji)
  • CAN-2003-0965 - błąd typu cross-site scripting w interfejsie administracyjnym
  • CAN-2003-0991 - pewne zniekształcone polecenia pocztowe mogą spowodować zawieszenie procesu mailmana

Naruszenie bezpieczeństwa typu cross-site scripting może umożliwić atakującemu przeprowadzenie nieautoryzowanych operacji administracyjnych, poprzez przejęcie ciasteczka (cookie) sesji.

W stabilnej dystrybucji (woody) powyższe problemy zostały wyeliminowane w wersji 2.0.11-1woody7.

W dystrybucji niestabilnej (sid), błąd CAN-2003-0965 został wyeliminowany w wersji 2.1.4-1, a CAN-2003-0038 w wersji 2.1.1-1. Błąd CAN-2003-0991 będzie niedługo usunięty.

Zalecamy aktualizację pakietu mailman.

Naprawiony w:

Debian GNU/Linux 3.0 (woody)

Źródło:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody8.dsc
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody8.diff.gz
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody8_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody8_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody8_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody8_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody8_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody8_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody8_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody8_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody8_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody8_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody8_sparc.deb

Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.

Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.