Debian セキュリティ勧告

DSA-2170-1 mailman -- 複数の脆弱性

報告日時:
2011-02-18
影響を受けるパッケージ:
mailman
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2010-3089, CVE-2011-0707.
詳細:

二つのクロスサイトスクリプティング攻撃を許す欠陥が Web ベースのメーリン グリストマネージャ mailman に発見されました。この欠陥により、攻撃者が細 工した Javascript を確認メッセージ (CVE-2011-0707) やリスト管理インター フェース (CVE-2010-3089; 旧安定版のみ) に含ませることで、セッションクッ キーの奪取が可能です。

旧安定版 (oldstable) ディストリビューション (lenny) では、これらの問題は バージョン 1:2.1.11-11+lenny2 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージ ョン 1:2.1.13-5 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューション では、この問題はバージョン 1:2.1.14-1 で修正されています。

直ぐに mailman パッケージをアップグレードすることを勧めます。