Bulletin d'alerte Debian

DSA-147-1 mailman -- Exécution de code arbitraire dans un script

Date du rapport :
8 août 2002
Paquets concernés :
mailman
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 4825, Identifiant BugTraq 4826, Identifiant BugTraq 5298.
Dans le dictionnaire CVE du Mitre : CVE-2002-0388, CVE-2002-0855.
Plus de précisions :

Une vulnérabilité concernant une exécution de code arbitraire (cross-site scripting) a été découverte dans mailman, un logiciel pour gérer les listes de diffusion. Lorsque l'on accède à une URL particulière avec Internet Explorer (les autres navigateurs ne semblent pas être affectés), la page web retournée est semblable à l'originale, à ceci près que le code java-script est aussi exécuté. Ce qui peut permettre à un assaillant d'accéder à des données sensibles. La nouvelle version pour Debian 2.2 inclue également un rétroportage de la rustine de sécurité à partir de mailman 2.0.11.

Ce problème a été corrigé dans la version 2.0.11-1woody4 pour l'actuelle distribution stable (Woody), dans la version 1.1-10.1 pour l'ancienne distribution stable (Potato) et dans la version 2.0.12-1 pour la distribution unstable (Sid).

Nous vous recommandons de mettre à jour votre paquet mailman.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1.dsc
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1.diff.gz
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_sparc.deb

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4.dsc
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4.diff.gz
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_ia64.deb
HP Precision:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.