Csomag: mailman
Sebezhetőség: oldalak-közti scriptelhetőség
Probléma típus: távoli
Debian-specifikus: nem
CVE Id: CAN-2002-0388
Egy oldalközi scriptelési sebezhetőséget találtak a mailmanben, ami egy levelezési listák managelését szolgáló szoftver. Amikor egy jólformált ravasz URL-t nyitunk meg az Internet Explorerrel (úgy tűnik, más brozerek nem érintettek a hibában), az ereményül kapott weboldal hasonlítani fog az igazira, de egy javascript komponenst is lefuttat, amit egy támadó felhasználhat arra, hogy érzékeny információkat szerezzen. Az új verziójú Debian 2.2 csomagok szintén tartalmazzák a biztonságilag érintett foltokat a mailman 2.0.11 verziójából.A problémát javítja a 2.0.11-1woody2 verzió az aktuális stabil disztribúcióban (woody), a 1.1-10.1 verzió a régi stabil disztribúcióban (potato, de ne lepődjetek meg, ha az eredetiben woody-t láttok, Martin még vsz. álmos volt, mikor írta :-)), és a 2.0.12-1 verzió az aktuális unstabil verzióban (sid).
Javasoljuk azonnal frissítsd a mailman csomagjaid.
Martin Schultze levele a debian-security-announce listán.
A frissítésről szóló FAQ-nk.