GNU Mailman跨站脚本及拒绝服务漏洞

2006-10-25T00:00:00
ID SSV:100
Type seebug
Reporter Root
Modified 2006-10-25T00:00:00

Description

GNU Mailman是一款开放源码的邮件列表管理系统。 Mailman中存在多个安全漏洞,具体如下: 1) 日志功能中的错误允许攻击者通过特制的URL向错误日志中注入欺骗性的日志消息。这可能诱骗管理员访问恶意的Web站点。 2) Mailman在处理畸形MIME首部时没有遵循RFC 2231标准,可能导致拒绝服务。 3) Mailman没有正确过滤某些用户输入,允许在用户浏览器会话中执行任意HTML和脚本代码。

受影响系统: GNU Mailman < 2.1.9 不受影响系统: GNU Mailman 2.1.9rc1 GNU Mailman 2.1.9

厂商补丁:

GNU

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://sourceforge.net/project/showfiles.php?group_id=103

RedHat

RedHat已经为此发布了一个安全公告(RHSA-2006:0600-01)以及相应补丁: RHSA-2006:0600-01:Moderate: mailman security update 链接:http://lwn.net/Alerts/198828/?format=printable