-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : mailman
RESUMO : Vulnerabilidade de cross site scripting
DATA : 2002-09-03 15:55:00
ANÚNCIO : CLA-2002:522
EDIÇÕES : 6.0, 7.0, 8

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 Mailman[1] é um gerenciador de listas de discussão.
 
 "office" reportou[3] diversas vulnerabilidades de "cross site
 scripting" nas versões 2.0.11 e anteriores do programa mailman. Os
 autores foram notificados e liberaram uma nova versão[2], a 2.0.12,
 que corrige estes problemas.
 
 Esta classe de vulnerabilidades poderia permitir que atacantes
 remotos obtivessem, por exemplo, o "cookie" de autenticação usado
 pela interface de administração web do gerenciador de listas, ou
 então enganar o administrador da lista com uma página de login que
 envie a senha para um site controlado pelo atacante. Isto é possível
 através da inserção de scripts em URLs que serão executados pelo
 browser do usuário caso ele clique nessas URLs.
 
 Esta atualização está disponibilizando a versão 2.0.13.

SOLUÇÃO
 Todos os usuários do gerenciador de listas de discussão mailman devem
 atualizar os pacotes.
 
 
 REFERÊNCIAS
 1.http://www.list.org/
 2.http://mail.python.org/pipermail/mailman-announce/2002-July/000043.html
 3.http://archives.neohapsis.com/archives/bugtraq/2002-07/0268.html

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/mailman-2.0.13-1U60_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/mailman-2.0.13-1U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/mailman-2.0.13-1U70_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/mailman-2.0.13-1U70_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/mailman-2.0.13-1U80_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/mailman-2.0.13-1U80_1cl.i386.rpm

INSTRUÇÕES ADICIONAIS
 Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
 atualizações de pacotes RPM:
 - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
 acrescente-a:

 rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

  (substitua "versão" pela sua versão. Por exemplo, 7.0)

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE9dQcN42jd0JmAcZARAuZ5AJ9i8svwUBaieNyscqmjDxokR9KkSQCgnIo9
Rk3eFSZ9GE39WelISqrXpts=
=xzW4
-----END PGP SIGNATURE-----

• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]