发布日期：2001-09-05
更新日期：2001-09-13

受影响系统：

GNU Mailman 2.0.5
GNU Mailman 2.0.4
GNU Mailman 2.0.3
GNU Mailman 2.0.2
GNU Mailman 2.0.1
GNU Mailman 2.0

不受影响系统：

GNU Mailman 2.0.6

描述：

---

BUGTRAQ ID : 3295

GNU Mailman 是免费的并且开放源码的邮件列表管理软件。
它存在一个问题，允许用户访问任意用户帐号。这个漏洞仅仅在口令文件已经被创建，但
是还没有任何内容的时候才会发生，这时攻击者可以键入任意口令来访问任意用户的帐号。
这是由于crypt函数的一个bug引起的，当收到一个空的salt时，函数也会返回一个空的哈
希值。

<*来源：CONECTIVA LINUX SECURITY ANNOUNCEMENT CLA-2001:420
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-09/0018.html
*>


建议：

---

厂商补丁：

CONECTIVA LINUX 已经为此发布了升级程序：

ftp://atualizacoes.conectiva.com.br/4.1/SRPMS/mailman-2.0.6-1U41_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/mailman-2.0.6-1U41_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/SRPMS/mailman-2.0.6-1U42_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/mailman-2.0.6-1U42_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/mailman-2.0.6-1U50_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/mailman-2.0.6-1U50_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/mailman-2.0.6-1U51_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/mailman-2.0.6-1U51_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/mailman-2.0.6-1U60_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/mailman-2.0.6-1U60_1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/mailman-2.0.6-1U70_1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/mailman-2.0.6-1U70_1cl.i386.rpm
  


浏览次数：3607
严重程度：0（网友投票）