Debian-Sicherheitsankündigung

DSA-147-1 mailman -- Site-übergreifendes Skripting

Datum des Berichts:
08. Aug 2002
Betroffene Pakete:
mailman
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 4825, BugTraq ID 4826, BugTraq ID 5298.
In Mitres CVE-Verzeichnis: CVE-2002-0388, CVE-2002-0855.
Weitere Informationen:

Eine Site-übergreifende Skripting-Verwundbarkeit wurde in mailman gefunden, einer Software, die elektronische Mailinglisten verwaltet. Wenn auf eine sorgfältig erstellte URL mit dem Internet Explorer zugegriffen wird (andere Browser dürften nicht davon betroffen sein), wird die resultierende Webseite ähnlich der echten angezeigt, jedoch wird die Javascript Komponente zusätzlich ausgeführt, was von einem Angreifer dazu verwendet werden kann, auf empfindliche Daten zuzugreifen. Die neue Version für Debian 2.2 beinhaltet ebenfalls eine Rückportierung von sicherheitsrelevanten Patches von Mailman 2.0.11.

Dieses Problem wurde in Version 2.0.11-1woody4 für die aktuelle stable Distribution (Woody), in Version 1.1-10.1 für die alte stable Distribution (Potato) und in Version 2.0.12-1 für die unstable Distribution (Sid) behoben.

Wir empfehlen Ihnen, Ihr mailman-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1.dsc
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1.diff.gz
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_sparc.deb

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4.dsc
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4.diff.gz
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_ia64.deb
HP Precision:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.