-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 147-2 security@debian.org http://www.debian.org/security/ Martin Schulze 26 de Agosto de 2002 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : mailman Vulnerabilidade : cross-site scripting Tipo de Problema : remoto Específico ao Debian : não Id CVE : CAN-2002-0388 Do DSA 147-1: Uma vulnerabilidade cross-site scripting foi descoberta no mailman, um software para gerenciar listas de discussão. Quando uma URL modificada é acessada com o Internet Explorer (outros navegadores parecem não ser afetados), a página resultante é muito similar a real, mas um componente javascript é executado, o que pode ser usado por um atacante para obter acesso a informações sensíveis. A nova versão para o Debian 2.2 também inclui backports de segurança do mailman 2.0.11. Isso já foi corrigido no DSA-147-1, porém, contrariando a crença popular, foi constatado que o empacotamento da linguagem Python não atualiza usuários da Python 1.5 para a versão 2.1 ao migrar da potato para a woody. Também foi verificado que a tanto a atualização de segurança do mailman quanto a versão do autor, inconscientemente introduziram uma dependência a Python 2.1, que tornam o pacote inutilizável em alguns sistemas. Esse problema foi resolvido na versão 2.0.11-1woody4 para a atual distribuição estável (woody). As outras versão não foram afetadas. Nós recomendamos que você atualize seu pacote mailman. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce -------------------------------------------------------------------------- -- Michelle Ribeiro
Attachment:
pgpX4ZFf3Xe8I.pgp
Description: PGP signature