• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-436-1 mailman -- различные уязвимости

Главная Специалистам База уязвимостей DSA-436-1 mailman -- различные уязвимости

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
mailman (any)
Описание
Исправлено несколько уязвимостей в пакете mailman:

CAN-2003-0038 - потенциальное создание скриптов, перекрёстных между
  сайтами, посредством определённых параметров CHI (способы использования
  неизвестны)
CAN-2003-0965 - создание скриптов, перекрёстных между сайтами,
  в интерфейсе администрирования
CAN-2003-0991 - определённые злонамеренные почтовые команды могут
  вызвать обвал процесса mailman

Перекрёстные между сайтами скрипты могут позволить нападающему
выполнять административные действия без авторизации, выкрав файл
cookie сеанса.
В текущем стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 2.0.11-1woody7.
В нестабильном дистрибутиве (sid)
CAN-2003-0965 исправлена в версии 2.1.4-1,
CAN-2003-0038 — в версии 2.1.1-1.
CAN-2003-0991 будет исправлена в ближайшее время.
Мы рекомендуем вам обновить пакет mailman.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
mailman - 2.0.11-1woody8
s390x:
mailman - 2.0.11-1woody8
m68k:
mailman - 2.0.11-1woody8
i686:
mailman - 2.0.11-1woody8
hppa:
mailman - 2.0.11-1woody8
sparc:
mailman - 2.0.11-1woody8
alpha:
mailman - 2.0.11-1woody8
ia64:
mailman - 2.0.11-1woody8
mips:
mailman - 2.0.11-1woody8
mipsel:
mailman - 2.0.11-1woody8
arm:
mailman - 2.0.11-1woody8
Ссылки
http://www.debian.org/security/dsa-436/

Источник: CVE
Наименование: CVE-2003-0965
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0965

Источник: CVE
Наименование: CVE-2003-0038
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0038

Источник: CVE
Наименование: CVE-2003-0991
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0991