[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: security/2005/dsa-674.wml

From: Hideki Yamane <henrich@xxxxxxxxxxxxxx>
Subject: Re: security/2005/dsa-674.wml
Date: Mon, 28 Feb 2005 13:43:13 +0900
List-help: <mailto:debian-www-ctl@debian.or.jp?body=help>
List-id: debian-www.debian.or.jp
List-owner: <mailto:debian-www-admin@debian.or.jp>
List-post: <mailto:debian-www@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-www-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
X-ml-name: debian-www
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-www@debian.or.jp
X-spam-level: **
X-spam-status: No, hits=2.6 required=10.0 tests=EIGHTBIT_BODY,IN_REP_TO,ISO2022JP_BODY,ISO2022JP_CHARSET, RCVD_IN_ORBS,RCVD_IN_OSIRUSOFT_COM,REFERENCES, SIGNATURE_SHORT_SPARSE,SPAM_PHRASE_00_01,X_OSIRU_OPEN_RELAY version=2.44
References: <1108739310.6663.0.camel@xxxxxxxxxxxxxxxxxxxxx>
Message-id: <200502280443.j1S4h1i3004847@xxxxxxxxxxxxxxxxx>
X-mail-count: 07558
X-mailer: Datula version 1.52.01 for Windows

  やまね  です。

  "Sat, 19 Feb 2005 00:08:33 +0900", "Hideki Yamane"
  "security/2005/dsa-674.wml"

　更新版を訳してみました。

---------------------------------------------------------------------
#use wml::debian::translation-check translation="1.5"
<define-tag description>クロスサイトスクリプティング, ディレクトリ間の不正な移動</define-tag>
<define-tag moreinfo>
<p>Python 1.5 および 2.1 間の非互換性により、前回の mailman の更新は 
Python 1.5 では全く動かなくなっていました。この更新でこの問題を訂正します。
この勧告は DSA-674-2 で更新されたパッケージをさらに更新するだけのものです。
不安定版に含まれているパッケージは、既に Python 1.5 で動作しないように
なっているので影響を受けません。完全を期するため、オリジナルの勧告文を
以下に記載します:</p>

<blockquote>
<p>ウェブベースの GNU メーリングリストマネージャ、mailman に 2 つの
セキュリティ関連の問題が発見されました。The Common Vulnerabilities and 
Exposures project では以下の問題を認識しています:</p>

<ul>

<li><a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1177";>CAN-2004-1177</a>

    <p>Florian Weimer さんは、mailman が自動生成するエラーメッセージに
    クロスサイトスクリプティング脆弱性を発見しました。攻撃者は Javascript 
    (あるいは HTML に埋め込んだ他のコンテンツ) を含んだ URL によって、
    悪意を持ったコードをそのまま含んだ mailman のエラーページを作り出す
    細工が可能です。</p>

<li><a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0202";>CAN-2005-0202</a>

    <p>複数のメーリングリスト管理者が、非公開であるメーリングリストアーカイブ
    やユーザパスワードを含むメーリングリストの設定自体へのアクセスがあった
    ことに気がつきました。
    管理者らに対しては、ウェブサーバのログファイルに "/...../" とアーカイブ
    または設定ファイルへのパスが含まれたリクエストの有無をチェックすること
    を推奨します。これは、Apache 1.3 のようなスラッシュ '/' を切捨てない
    ウェブサーバ上で稼動しているもののみに影響します。</p>

</ul>
</blockquote>

<p>安定版ディストリビューション (stable、コードネーム woody) では、
これらの問題はバージョン 2.0.11-1woody10 で修正されています。</p>

<p>不安定版ディストリビューション (unstable、コードネーム sid) では、
これらの問題はバージョン 2.1.5-6 で修正されています。</p>

<p>mailman パッケージのアップグレードをお勧めします。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-674.data"


-- 
Regards,

 Hideki Yamane    mailto:henrich @ iijmio-mail.jp

References:
- security/2005/dsa-674.wml
  - From: Hideki Yamane

Prev by Date: Re: [SECURITY] [DSA 674-3] New mailman packages really fix several vulnerabilities
Next by Date: Re: security/2003/dsa-382.wml
Previous by thread: security/2005/dsa-674.wml
Next by thread: security/2005/dsa-665.wml
Index(es):
- Date
- Thread