[Debian] Mehrere Schwachstellen in mailman – DSA-2170-1

[Debian] Mehrere Schwachstellen in mailman - DSA-2170-1

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des Debian-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-0707 – Cross-Site-Scripting Schwachstellen in GNU Mailman

In GNU Mailman sind mehrere Cross-Site-Scripting Schwachstellen
vorhanden, die Bestaetigungs-Nachrichten (confirmation messages) der
Listen betreffen. Ein authentifizierter Angreifer kann ueber diese
Felder HTML-Code im Browser des Benutzers mit den Rechten der
Mailman-Seite ausfuehren.

CVE-2010-3089 – Cross-Site-Scripting Schwachstellen in GNU Mailman vor
2.1.14rc1

In GNU Mailman vor 2.1.14rc1 sind mehrere Cross-Site-Scripting
Schwachstellen vorhanden, die das Informationsfeld und das
Beschreibungsfeld der Listen betreffen. Ein authentifizierter Angreifer
kann ueber diese Felder HTML-Code im Browser des Benutzers mit den
Rechten der Mailman-Seite ausfuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket mailman in der old stable Distribution (lenny) vor Version
1:2.1.11-11+lenny2
Paket mailman in der stable Distribution (squeeze) vor Version
1:2.1.13-5
Paket mailman in der unstable Distribution (sid) vor Version
1:2.1.14-1

Old Stable Distribution (lenny)
Stable Distribution (squeeze)
Unstable Distribution (sid)

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Jan Kohlrausch (CSIRT), Phone +49 40 808077-555

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

CarmentiS – Early Warning Expertise
https://www.carmentis.org

– —–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

– – ————————————————————————-
Debian Security Advisory DSA-2170-1 security@debian.org
http://www.debian.org/security/ Thijs Kinkhorst
February 18, 2011 http://www.debian.org/security/faq
– – ————————————————————————-

Package : mailman
Vulnerability : several
Problem type : remote
Debian-specific: no
CVE ID : CVE-2010-3089 CVE-2011-0707

Two cross site scripting vulnerabilities were been discovered in
Mailman, a web-based mailing list manager. These allowed an attacker
to retreive session cookies via inserting crafted JavaScript into
confirmation messages (CVE-2011-0707) and in the list admin interface
(CVE-2010-3089; oldstable only).

For the oldstable distribution (lenny), these problems have been fixed in
version 1:2.1.11-11+lenny2.

For the stable distribution (squeeze), this problem has been fixed in
version 1:2.1.13-5.

For the testing (wheezy) and unstable distribution (sid), this problem
has been fixed in version 1:2.1.14-1.

We recommend that you upgrade your mailman packages.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/

Mailing list: debian-security-announce@lists.debian.org
– —–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.10 (GNU/Linux)

iQEcBAEBAgAGBQJNYQIWAAoJEOxfUAG2iX573uEH/iCu1JjYMCh/lu2uB2PGQZHy
hwiuJCBKU6Ufg8gQ7kC7uxp/hF3NF+1RQbmYr384tLu/m+w8guvs3y7oYO/mZTPj
OEZwkWJhl+9PrfEXxv4NxMpZPUXP/MGGPVKB8ALmYPx0/o1E38gfRzQWBKRMqbkK
WxJs0olI7j4eC7YXirad3kBjmHTOgJj/nF3TCCKXVvvCPDeybfItuKP+BwE+fRV0
lofha4JN++ZcgeU9W7MurHTyMoYv2vSiOKHy+WN6SUUKc9n9sIa86aBM0YiFMigb
OdF/J0SUJvgbmCi4eRmMTDIFzUHwBqPHqIsfuyfEm5M/IIthokra7hDV8iyWLVI=
=E9qi
– —–END PGP SIGNATURE—–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iQEcBAEBAgAGBQJNYotOAAoJEJtyb8U7iGZB89AH/2vJ1pbl5Qfv9qcG6J70MvNu
wPH9roB4g1Ass4z5iXODIuAKhA9JPGiwO5iyZoMQD59pIEGCJIryRnmH8aA5wRI5
+jWUY1toVstkYQVmU92PK8s2veg4cVDOg7x3Ez3nz0DGvbEQhG5CFQgwrsmVqi8I
Nw/ceTTsOKTb03cdjfa6SUyg33dCf44WE/cdzisz7wIHZ/23f6p+Lk5IpZP4FKoG
Nxl9zzCUcHDlfpb+FFAAVQ4zN2w1D/j9zE4AfFDHRbr4tPFlIWKLe58WsaTiy1M4
aGbaLi3XHt9HnXFDZNVygLqT+6GRMTXBBquvkjFZkCFTIojVMHjeCx3Nmv8pIbU=
=L+is
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben