[Segurança] [DSA 147-2] Novo pacote mailman corrige problema com cross-site scripting

To: d-n-p <debian-news-portuguese@lists.debian.org>
Subject: [Segurança] [DSA 147-2] Novo pacote mailman corrige problema com cross-site scripting
From: Michelle Ribeiro <michelle@focalinux.org>
Date: Mon, 26 Aug 2002 15:32:41 +0000
Message-id: <[🔎] 20020826153241.05d20e50.michelle@focalinux.org>

--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 147-2                   security@debian.org
http://www.debian.org/security/                             Martin Schulze
26 de Agosto de 2002			http://www.debian.org/security/faq
--------------------------------------------------------------------------

Pacote			: mailman
Vulnerabilidade		: cross-site scripting
Tipo de Problema	: remoto
Específico ao Debian	: não
Id CVE			: CAN-2002-0388

Do DSA 147-1:

  Uma vulnerabilidade cross-site scripting foi descoberta no mailman, 
  um software para gerenciar listas de discussão. Quando uma URL modificada
  é acessada com o Internet Explorer (outros navegadores parecem não ser
  afetados), a página resultante é muito similar a real, mas um componente 
  javascript é executado, o que pode ser usado por um atacante para obter 
  acesso a informações sensíveis. A nova versão para o Debian 2.2 também 
  inclui backports de segurança do mailman 2.0.11.

Isso já foi corrigido no DSA-147-1, porém, contrariando a crença popular,
foi constatado que o empacotamento da linguagem Python não atualiza usuários da Python
1.5 para a versão 2.1 ao migrar da potato para a woody. Também foi verificado
que a tanto a atualização de segurança do mailman quanto a versão do autor, 
inconscientemente introduziram uma dependência a Python 2.1, que tornam o 
pacote inutilizável em alguns sistemas. 

Esse problema foi resolvido na versão 2.0.11-1woody4 para a atual distribuição
estável (woody). As outras versão não foram afetadas. 

Nós recomendamos que você atualize seu pacote mailman.


--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista 
debian-security-announce@lists.debian.org. Caso queira receber os 
alertas em inglês e minutos depois de sua publicação, inscreva-se na 
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------

--
Michelle Ribeiro

Attachment: pgpX4ZFf3Xe8I.pgp
Description: PGP signature

Reply to:

Prev by Date: [Segurança] [DSA 157-1] Novo pacote irssi-text corrige negação de serviço
Next by Date: [Segurança] [DSA 158-1] Novo pacote gaim corrige execução arbitrária de programa
Previous by thread: [Segurança] [DSA 157-1] Novo pacote irssi-text corrige negação de serviço
Next by thread: [Segurança] [DSA 158-1] Novo pacote gaim corrige execução arbitrária de programa
Index(es):
- Date
- Thread