På grund af en inkompatibilitet mellem Python 1.5 og 2.1, kørte den sidste opdatering af mailman ikke længere med Python 1.5. Problem er rettet i denne opdatering. Denne bulletin opdaterer kun de pakker, der blev opdateret i DSA 674-2. Versionen i den ustabile distribution er ikke påvirket, da den ikke længere skal kunne fungere med Python 1.5. For fuldstændighedens skyld følger den oprindelige tekst herunder:
To sikkerhedsrelaterede problemer er opdaget i mailman, det webbaserede GNUs program til postlistehåndtering. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
- CAN-2004-1177
Florian Weimer har opdaget en sårbarhed i forbindelse med udførelse af skripter på tværs af websteder i mailmans automatisk genererede fejlmeddelelser. En angriber kunne fremstille en URL indeholdende JavaScript (eller andet indhold indlejret i HTML), hvilket udløste en af mailmans fejlsider, der indeholdt den ondsindede kode.
- CAN-2005-0202
Flere listmastere har opdaget uautoriseret adgang til private listers arkiver og listeopsætningen selv, deriblandt brugernes adgangskoder. Administratorer opfordres til at kigge i webserverens logfiler efter forespørgsler indeholdende "/...../" og stien til arkivet eller opsætningen. Det lader kun til at påvirke installationer, der kører på webservere der ikke fjerner skråstreger, eksempelvis Apache 1.3.
I den stabile distribution (woody) er disse problemer rettet i version 2.0.11-1woody11.
I den ustabile distribution (sid) er disse problemer rettet i version 2.1.5-6.
Vi anbefaler at du opgraderer din mailman-pakke.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.
MD5-kontrolsummer for de listede filer findes i den reviderede sikkerhedsbulletin.
MD5-kontrolsummer for de listede filer findes i den reviderede sikkerhedsbulletin.