På grund av en inkompatibilitet mellan Python 1.5 och 2.1 fungerade inte den senaste uppdateringen längre tillsammans med Python 1.5. Detta problem har rättats i denna uppdatering. Denna bulletin uppdaterar bra de paket som uppdaterades med DSA 674-2. Version i den instabila utgåvan påverkas inte eftersom den inte är tänkt att fungera tillsammans med Python 1.5 längre. Texten från originalbulletinen ingår nedan:
Två säkerhetsrelaterade problem har upptäckts i mailman, GNUs webbaserade sändlistehanterare. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
Florian Weimer upptäckte en serveröverskridande skriptsårbarhet i mailmans automatiskt genererade felmeddelanden. En gripare kunde tillverka en URL med JavaScript (eller annat innehåll inbäddat i HTML) som fick mailmans felsidor att direkt inkludera den skadliga koden.
Flera listansvariga har upptäckt otillåtna anrop till arkiv för privata listor och själva listkonfigurationen, inklusive användares lösenord. Administratörer ombeds söka i webbservrarnas loggfiler efter anrop som innehåller ”/...../” och sökvägen till arkiven eller konfigurationen. Detta verkar bara påverka installationer som körs på webbservrar som inte tar bort snedstreck, till exempel Apache 1.3.
För den stabila utgåvan (Woody) har dessa problem rättats i version 2.0.11-1woody11.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2.1.5-6.
Vi rekommenderar att ni uppgraderar ert mailman-paket.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.
MD5-kontrollsummor för dessa filer finns i reviderade bulletinen.
MD5-kontrollsummor för dessa filer finns i reviderade bulletinen.