mailman-2.1.11-3.4.AXS3
エラータID: AXSA:2011-74:01
リリース日:
2011/03/04 Friday - 13:03
題名:
mailman-2.1.11-3.4.AXS3
影響のあるチャネル:
Asianux Server 3 for x86
Asianux Server 3 for x86_64
Severity:
High
Description:
以下項目について対処しました。<br />
<br />
[Security Fix]<br />
- Mailman には複数のクロスサイトスクリプティング (XSS) が存在し, WEB管理インターフェースの (1)テンプレートあるいは (2) リストの情報属性を編集することによって, リモー<br />
トの攻撃者が任意の WEB スクリプトあるいは HTML を注入する脆弱性があります。(CVE-2008-0564)<br />
<br />
- GNU Mailman には複数のクロスサイトスクリプティング (XSS) が存在し, (1) リストの情報フィールドあるいは (2) リストの記述フィールドによって, リモートの認証されたユーザが任意の WEB スクリプトあるいは HTML を注入する脆弱性があります。(CVE-2010-3089)<br />
<br />
- GNU Mailman の Cgi/confirm.py には複数のクロスサイトスクリプティングが存在し, 確認メッセージの (1) 氏名 あるいは (2) ユーザ名のフィールドによって, リモートの攻撃者が任意の WEB スクリプトあるいは HTML を注入する脆弱性があります。(CVE-2011-0707)<br />
<br />
一部CVEの翻訳文はJVNからの引用になります。<br />
http://jvndb.jvn.jp/<br />
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2008-0564
Multiple cross-site scripting (XSS) vulnerabilities in Mailman before 2.1.10b1 allow remote attackers to inject arbitrary web script or HTML via unspecified vectors related to (1) editing templates and (2) the list's "info attribute" in the web administrator interface, a different vulnerability than CVE-2006-3636.
Multiple cross-site scripting (XSS) vulnerabilities in Mailman before 2.1.10b1 allow remote attackers to inject arbitrary web script or HTML via unspecified vectors related to (1) editing templates and (2) the list's "info attribute" in the web administrator interface, a different vulnerability than CVE-2006-3636.
CVE-2010-3089
Multiple cross-site scripting (XSS) vulnerabilities in GNU Mailman before 2.1.14rc1 allow remote authenticated users to inject arbitrary web script or HTML via vectors involving (1) the list information field or (2) the list description field.
Multiple cross-site scripting (XSS) vulnerabilities in GNU Mailman before 2.1.14rc1 allow remote authenticated users to inject arbitrary web script or HTML via vectors involving (1) the list information field or (2) the list description field.
CVE-2011-0707
Multiple cross-site scripting (XSS) vulnerabilities in Cgi/confirm.py in GNU Mailman 2.1.14 and earlier allow remote attackers to inject arbitrary web script or HTML via the (1) full name or (2) username field in a confirmation message.
Multiple cross-site scripting (XSS) vulnerabilities in Cgi/confirm.py in GNU Mailman 2.1.14 and earlier allow remote attackers to inject arbitrary web script or HTML via the (1) full name or (2) username field in a confirmation message.
追加情報:
N/A
ダウンロード:
SRPMS
- mailman-2.1.11-3.4.AXS3.src.rpm
MD5: 44515f493685a8cb8557e62f6d4c8e8c
SHA-256: 9daddd0cef00174815eeefdeb14d320cf98a8fdb0eaec04e903faf62dea2cf72
Size: 7.81 MB
Asianux Server 3 for x86
- mailman-2.1.11-3.4.AXS3.i386.rpm
MD5: b5a5eb841f8d67fda5c35e64c9954bb5
SHA-256: 75b212fccf8d4fd50613ada8cbf6b0ffeff2b049eb51d3e631762973101d6980
Size: 11.69 MB
Asianux Server 3 for x86_64
- mailman-2.1.11-3.4.AXS3.x86_64.rpm
MD5: a7087d0a9ed40842f243a92dd7415f0f
SHA-256: 7072be689d037d7d0e6396ce75c964e046cd6bfa93c9ed6a5b5f0478ee4dcbc6
Size: 11.75 MB