[转载]GNU Mailman跨站脚本及拒绝服务漏洞

信息来源：绿盟科技

GNU Mailman跨站脚本及拒绝服务漏洞

发布日期：2006-09-05
更新日期：2006-09-07

受影响系统：
GNU Mailman < 2.1.9
不受影响系统：
GNU Mailman 2.1.9rc1
GNU Mailman 2.1.9
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 19831
CVE(CAN) ID: CVE-2006-2941,CVE-2006-3636

GNU Mailman是一款开放源码的邮件列表管理系统。

Mailman中存在多个安全漏洞，具体如下：

1) 日志功能中的错误允许攻击者通过特制的URL向错误日志中注入欺骗性的日志消息。这可能诱骗管理员访问恶意的Web站点。

2) Mailman在处理畸形MIME首部时没有遵循RFC 2231标准，可能导致拒绝服务。

3) Mailman没有正确过滤某些用户输入，允许在用户浏览器会话中执行任意HTML和脚本代码。

<*来源：Barry Warsaw （barry@python.org）
  
  链接：http://secunia.com/advisories/21732
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

GNU
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://sourceforge.net/project/showfiles.php?group_id=103