Debian セキュリティ勧告

DSA-674-3 mailman -- クロスサイトスクリプティング, ディレクトリ間の不正な移動

報告日時:
2005-02-21
影響を受けるパッケージ:
mailman
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2004-1177, CVE-2005-0202.
詳細:

Python 1.5 および 2.1 間の非互換性により、前回の mailman の更新は Python 1.5 では全く動かなくなっていました。この更新でこの問題を訂正します。 この勧告は DSA-674-2 で更新されたパッケージをさらに更新するだけのものです。 不安定版に含まれているパッケージは、既に Python 1.5 で動作しないようになっているので影響を受けません。 完全を期するため、オリジナルの勧告文を以下に記載します:

ウェブベースの GNU メーリングリストマネージャ、mailman に 2 つのセキュリティ関連の問題が発見されました。The Common Vulnerabilities and Exposures project では以下の問題を認識しています:

  • CAN-2004-1177

    Florian Weimer さんは、mailman が自動生成するエラーメッセージにクロスサイトスクリプティング脆弱性を発見しました。 攻撃者は Javascript (あるいは HTML に埋め込んだ他のコンテンツ) を含んだ URL によって、悪意を持ったコードをそのまま含んだ mailman のエラーページを作り出す細工が可能です。

  • CAN-2005-0202

    複数のメーリングリスト管理者が、非公開のメーリングリストアーカイブや、 ユーザパスワードを含むメーリングリストの設定自体にアクセスされているのに気がつきました。 管理者らに対しては、ウェブサーバのログファイルに "/...../" のようにアーカイブまたは設定ファイルへのパスが含まれたリクエストの有無をチェックすることを推奨します。 これは、Apache 1.3 のようなスラッシュ '/' を切捨てないウェブサーバ上で稼動しているもののみに影響します。

安定版ディストリビューション (stable、コードネーム woody) では、これらの問題はバージョン 2.0.11-1woody11 で修正されています。

不安定版ディストリビューション (unstable、コードネーム sid) では、これらの問題はバージョン 2.1.5-6 で修正されています。

mailman パッケージのアップグレードをお勧めします。

修正:

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody11.dsc
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody11.diff.gz
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody11_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody11_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody11_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody11_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody11_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody11_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody11_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody11_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody11_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody11_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody11_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。

一覧にあるファイルの MD5 チェックサムは勧告の原文 (改訂版) にあります。

一覧にあるファイルの MD5 チェックサムは勧告の原文 (改訂版) にあります。