受影响系统:
Ken’ichi Fukamachi fml 3.0
+ Debian Linux 2.2
描述:
BUGTRAQ ID: 3623
fml邮件列表服务器为Linux和其它操作系统提供了邮件列表管理功能,包括多个Perl脚本和一些基于Web的支持文档。
该软件存在一个安全问题,可能导致恶意用户获取其他用户的敏感数据。
当为支持文档创建索引页时,由于Email的“subject”域没有正确过滤“<”和“>”,
导致恶意攻击者嵌入任意HTML代码,从而导致跨站脚本攻击。
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 暂时停止使用该邮件列表
厂商补丁:
Debian已经发布了安全公告(DSA-088-1)和相应补丁程序:
Debian Linux:
http://www.debian.org/security/2001/dsa-088
Debian Upgrade 2.2 (all platforms) fml_3.0+beta.20000106-5_all.deb
+beta.20000106-5_all.deb>http://security.debian.org/dists/stable/updates/main/binary-all/fml_3.0
+beta.20000106-5_all.deb
