Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-561

[GNU/Mailman] Probleme mit Cookies und Cross-Site Scripting - Patches verfügbar
(2001-11-29 17:37:26+00)

Quelle: http://mail.python.org/pipermail/mailman-announce/2001-November/thread.html

In GNU Mailman sind ab Version 2.0.8 Sicherheitsprobleme bei der Verwendung von Cookies und eine Cross-Site Scripting Schwachstelle behoben.

Betroffene Systeme

Einfallstor

  1. Speziell angepaßte Cookies
  2. Speziell angepaßte Mails
  3. Speziell angepaßte URLs

Auswirkung

  1. Eingeschränkte Verfügbarkeit.
  2. Beliebig lang verweilende Nachrichten in der Queue.
  3. Einfügen von HTML-Code in einzelne Seiten.

Typ der Verwundbarkeit

  1. Denial of Service(DoS)
  2. design-flaw
  3. Cross-Site Scripting Schwachastellen

Gefahrenpotential
niedrig bis mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  1. Durch ein Speziell angepaßtes Cookie kann Mailman bei Verwendung von Python 1.5.2 zum Absturz gebracht werden. Bei anderen Versionen ist dies nicht möglich, jedoch kann man die Konstruktoren beliebiger, auf dem System installierter Klassen ausführen.
  2. Die DSN-Bounce-Nachrichten werden von Mailman falsch verarbeitet. Bei entsprechender Formatierung ist es möglich, daß sie ewig in der Queue verweilen und somit manuell gelöscht werden müssten.
  3. Die gefundenen Cross-Site Scripting-Schwachstellen ermöglichen das Einfügen beliebigen HTML-Codes in URLs. Dies kann unter Verwendung eines sorgsam konstruierten Verweises zu Verwirrung führen. Auch können Authentifizierungs-Cookies ausgelesen werden und somit auf eingetlich gesperrte Bereiche Zugriff ermöglichen.

Gegenmaßnahmen

Weitere Information zu diesem Thema

(ig)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=561