DFN-CERT Portal

Schwachstellen

DFN-CERT-2018-0271: GNU Mailman: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie

Version 1 (2018-02-09 12:08)
Neues Advisory
Version 2 (2018-02-13 14:55)
Debian stellt für die alte stabile Distribution (Jessie) und die aktuelle stabile Distribution (Stretch) Backport-Sicherheitsupdates für 'mailman' zur Verfügung.

Betroffene Software

GNU Mailman < 2.1.26

Betroffene Plattformen

Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 17.10
Debian Linux 8.10 Jessie
Debian Linux 9.3 Stretch

Lösung

Patch

Debian Security Advisory DSA-4108-1

Patch

Ubuntu Security Notice USN-3563-1

Beschreibung

Eine Schwachstelle in GNU Mailman ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Cross-Site-Scripting-Angriffs.

Canonical stellt für die Distributionen Ubuntu 14.04 LTS, 16.04 LTS und 17.10 Backport-Sicherheitsupdates in Form des Pakets 'mailman' in den Versionen '1:2.1.16-2ubuntu0.5', '1:2.1.20-1ubuntu0.3' und '1:2.1.23-1ubuntu0.2' bereit.

Schwachstellen

CVE-2018-5950: Schwachstelle in GNU Mailman ermöglicht Cross-Site-Scripting-Angriff

In dem Web-basierten Benutzerinterface zum Setzen von Benutzeroptionen (User Options Page) in GNU Mailman werden Eingaben nicht ausreichend überprüft. Ein Angreifer kann diese Cross-Site-Scripting (XSS)-Schwachstelle ausnutzen, wenn er einen Benutzer des Interfaces zum Besuch einer speziell präparierten URL verleiten kann, um beliebigen Skript-Code im Kontext der Schnittstelle auszuführen und Zugriff auf sensitive Browser-Daten zu erhalten.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.