Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-147-1 mailman -- Site-übergreifendes Skripting

Datum des Berichts:

08. Aug 2002

Betroffene Pakete:

mailman

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 4825, BugTraq ID 4826, BugTraq ID 5298.
In Mitres CVE-Verzeichnis: CVE-2002-0388, CVE-2002-0855.

Weitere Informationen:

Eine Site-übergreifende Skripting-Verwundbarkeit wurde in mailman gefunden, einer Software, die elektronische Mailinglisten verwaltet. Wenn auf eine sorgfältig erstellte URL mit dem Internet Explorer zugegriffen wird (andere Browser dürften nicht davon betroffen sein), wird die resultierende Webseite ähnlich der echten angezeigt, jedoch wird die Javascript Komponente zusätzlich ausgeführt, was von einem Angreifer dazu verwendet werden kann, auf empfindliche Daten zuzugreifen. Die neue Version für Debian 2.2 beinhaltet ebenfalls eine Rückportierung von sicherheitsrelevanten Patches von Mailman 2.0.11.

Dieses Problem wurde in Version 2.0.11-1woody4 für die aktuelle stable Distribution (Woody), in Version 1.1-10.1 für die alte stable Distribution (Potato) und in Version 2.0.12-1 für die unstable Distribution (Sid) behoben.

Wir empfehlen Ihnen, Ihr mailman-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:

http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1.dsc

http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1.diff.gz

http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_i386.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_m68k.deb

PowerPC:

http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_powerpc.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/m/mailman/mailman_1.1-10.1_sparc.deb

Debian GNU/Linux 3.0 (woody)

Quellcode:

http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4.dsc

http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4.diff.gz

http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_ia64.deb

HP Precision:

http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/m/mailman/mailman_2.0.11-1woody4_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français 日本語 (Nihongo) Português svenska

Wie stellt man die Standardsprache ein