mailman パッケージで複数の欠陥が修正されました。

• \ CAN-2003-0038 - ある CGI パラメータ経由でクロスサイトスクリプティング がおこなえる可能性がある (但し、このバージョンで攻撃可能かどうかは分かっていない)。
• \ CAN-2003-0965 - 管理者インターフェースでクロスサイトスクリプティングが可能。
• \ CAN-2003-0991 - 不正な形式の email コマンドで mailman プロセスをクラッシュさせることができる。

このクロスサイトスクリプティング脆弱性を攻撃することで、 セッションクッキーを盗んで管理者操作を認証なしに行うことが可能です。

安定版 (stable) ディストリビューション (woody) では、この問題はバージョン 2.0.11-1woody7で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、 \ CAN-2003-0965 はバージョン 2.1.4-1 で、 \ CAN-2003-0038 はバージョン 2.1.1-1 で修正されています。 \ CAN-2003-0991 は近く修正予定です。

すぐに mailman パッケージをアップグレードすることを勧めます。