发布日期：2006-09-05
更新日期：2006-09-07

受影响系统：

GNU Mailman < 2.1.9

不受影响系统：

GNU Mailman 2.1.9rc1
GNU Mailman 2.1.9

描述：

---

BUGTRAQ  ID: 19831
CVE(CAN) ID: CVE-2006-2941,CVE-2006-3636

GNU Mailman是一款开放源码的邮件列表管理系统。

Mailman中存在多个安全漏洞，具体如下：

1) 日志功能中的错误允许攻击者通过特制的URL向错误日志中注入欺骗性的日志消息。这可能诱骗管理员访问恶意的Web站点。

2) Mailman在处理畸形MIME首部时没有遵循RFC 2231标准，可能导致拒绝服务。

3) Mailman没有正确过滤某些用户输入，允许在用户浏览器会话中执行任意HTML和脚本代码。

<*来源：Barry Warsaw （barry@python.org）
  
  链接：http://secunia.com/advisories/21732
        http://lwn.net/Alerts/198828/?format=printable
*>

建议：

---

厂商补丁：

GNU
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://sourceforge.net/project/showfiles.php?group_id=103

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2006:0600-01）以及相应补丁:
RHSA-2006:0600-01：Moderate: mailman security update
链接：http://lwn.net/Alerts/198828/?format=printable

浏览次数：2906
严重程度：0（网友投票）