Csomag: mailman
Sebezhetőség: oldalak-közti scriptelhetőség
Probléma típus: távoli
Debian-specifikus: nem
CVE Id: CAN-2002-0388
Idézve az eredeti DSA 147-1-et:
Egy oldalközi scriptelési sebezhetőséget találtak a mailmanben, ami egy levelezési listák managelését szolgáló szoftver. Amikor egy jólformált ravasz URL-t nyitunk meg az Internet Explorerrel (úgy tűnik, más brozerek nem érintettek a hibában), az ereményül kapott weboldal hasonlítani fog az igazira, de egy javascript komponenst is lefuttat, amit egy támadó felhasználhat arra, hogy érzékeny információkat szerezzen. Az új verziójú Debian 2.2 csomagok szintén tartalmazzák a biztonságilag érintett foltokat a mailman 2.0.11 verziójából.
Ezt a hibát már a DSA 147-1-ben kijavították, azonban ellenben a közhiedelemmel, kiderült, hogy amikor a potato-t woody-ra upgradelik, a python1.5 nem upgradelődik python2.1-re. Így az is kiderült, hogy a mailman biztonsági javítása nem szándékosan ugyan, de függ a 2.1-es pythontól, mind az upstream verzióban, mind a biztonsági javításban, és ez használhatatlanná teheti a mailman-t bizonyos helyeken.
A problémát javítja a 2.0.11-1woody4 verzió az aktuális stabil terjesztésben (woody). A többi terjesztés nem érintett a hibában.
Javasoljuk frissítsd a mailman csomagjaid.
Martin Schultze levele a debian-security-announce listán.
A frissítésrõl szóló FAQ-nk.