[security-announce] IA: new mailman packages available

[ALT Security Team]

Пакет       : mailman
Уязвимость  : удалённая
Тип ошибки  : недостаточность проверок входных данных
ALT-specific: нет
CVE ID      : CAN-2004-1177 CAN-2005-0202

CAN-2004-1177:
Обнаружена уязвимость (XSS) в компоненте scripts/driver пакета mailman.
Недостаточность проверок входных данных в генераторе информации об ошибке
может быть использована потенциальным злоумышленником, действующим
удалённо, с помощью URL специального вида для организации загрузки
произвольных данных с сайта mailman'а.

CAN-2005-0202:
Обнаружена уязвимость (directory traversal) в компоненте cgi-bin/private
пакета mailman.  Недостаточность проверок входных данных в драйвере
web-интерфейса к приватным архивам может быть использована любым
подписчиком любого из обслуживаемых mailman'ом на сервере списков рассылок
для получения содержимого любого файла из файловой системы, к которому у
этого драйвера есть доступ на чтение.

Исправление этих уязвимостей для ALT Linux 2.4 Master доступно в пакете
mailman-2.1.5-alt3.M24.1.

Исправление этих уязвимостей для ALT Linux Sisyphus доступно в пакете
mailman-2.1.5-alt4.


-- 
ALT Security Team
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/security-announce/attachments/20050209/0d0d2ca5/attachment-0003.bin>