1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
|
<define-tag description>Site-übergreifendes Skripting, Verzeichnisüberschreitung</define-tag>
<define-tag moreinfo>
<p>Auf Grund einer Inkompatibilität zwischen Python 1.5 und 2.1 lief
die letzte Aktualisierung von mailman nicht mehr mit Python 1.5. Dieses
Problem wird mit dieser Aktualisierung behoben. Diese Ankündigung aktualisiert
lediglich die Pakete, die mit der DSA 674-2 bereits aktualisiert wurden.
Die Version in Unstable ist nicht betroffen, da sie nicht mehr unter Python
1.5 arbeitet. Der Vollständigkeit halber ist unten der Text der
ursprünglichen Ankündigung wiedergegeben:</p>
<blockquote>
<p>Zwei sicherheitsrelevante Probleme wurden in mailman entdeckt, dem
webbasierten GNU Mailinglisten-Manager. Das <q>Common Vulnerabilities and
Exposures project</q> identifiziert die folgenden Probleme:</p>
<ul>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1177">CAN-2004-1177</a>
<p>Florian Weimer entdeckte eine Verwundbarkeit durch
Site-übergreifendes Skripting in den automatisch erzeugten
Fehlernachrichten von mailman. Ein Angreifer kann eine URL
präparieren, die JavaScript (oder andere Inhalte, die in
HTML eingebettet sind) enthält. Diese löst eine Fehlerseite
von mailman aus, die den bösartigen Code ungefiltert enthält.</p></li>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0202">CAN-2005-0202</a>
<p>Mehrere Listmaster haben unautorisierten Zugriff auf Archive
von privaten Listen sowie die Listenkonfiguration selbst, einschließlich
der Benutzerpasswörter, bemerkt. Administratoren werden darauf
hingewiesen, die Webserver-Logdateien auf Anfragen zu überprüfen,
die <q>/...../</q> und den Pfad zu den Archiven oder der Konfiguration
enthalten. Dies scheint nur Installationen zu betreffen, die auf
Webservern laufen, die Querstriche (<q>Slashes</q>) nicht ausfiltern,
so wie Apache 1.3.</p></li>
</ul>
</blockquote>
<p>Für die Stable-Distribution (Woody) wurden diese Probleme in
Version 2.0.11-1woody11 behoben.</p>
<p>Für die Unstable-Distribution (Sid) wurden diese Probleme in
Version 2.1.5-6 behoben.</p>
<p>Wir empfehlen Ihnen, Ihr mailman-Paket zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-674.data"
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e" mindelta="1"
# $Id$
|