セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2170-1 mailman

Debian セキュリティ勧告

DSA-2170-1 mailman -- 複数の脆弱性

報告日時:

2011-02-18

影響を受けるパッケージ:

mailman

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2010-3089, CVE-2011-0707.

詳細:

二つのクロスサイトスクリプティング攻撃を許す欠陥が Web ベースのメーリン グリストマネージャ mailman に発見されました。この欠陥により、攻撃者が細 工した Javascript を確認メッセージ (CVE-2011-0707) やリスト管理インター フェース (CVE-2010-3089; 旧安定版のみ) に含ませることで、セッションクッ キーの奪取が可能です。

旧安定版 (oldstable) ディストリビューション (lenny) では、これらの問題は バージョン 1:2.1.11-11+lenny2 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージ ョン 1:2.1.13-5 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューション では、この問題はバージョン 1:2.1.14-1 で修正されています。

直ぐに mailman パッケージをアップグレードすることを勧めます。