製品・ソフトウェアに関する情報

JVN脆弱性詳細

GNU Mailman におけるクロスサイトスクリプティングの脆弱性

タイトル	GNU Mailman におけるクロスサイトスクリプティングの脆弱性
概要	GNU Mailman には、リストの情報フィールド、またはリストの記述フィールドに関する処理に不備があるため、クロスサイトスクリプティングの脆弱性が存在します。
想定される影響	リモート認証されたユーザにより、任意の Web スクリプトまたは HTML を挿入される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2011年3月1日0:00
登録日	2011年3月28日16:13
最終更新日	2011年6月3日8:56

CVSS2.0 : 注意
スコア	3.5
ベクター	AV:N/AC:M/Au:S/C:N/I:P/A:N

影響を受けるシステム

レッドハット

Red Hat Enterprise Linux 4 (as)

Red Hat Enterprise Linux 4 (es)

Red Hat Enterprise Linux 4 (ws)

Red Hat Enterprise Linux 4.8 (as)

Red Hat Enterprise Linux 4.8 (es)

Red Hat Enterprise Linux 5 (server)

Red Hat Enterprise Linux Desktop 4.0

Red Hat Enterprise Linux Server 6

Red Hat Enterprise Linux Workstation 6

RHEL Desktop Workstation 5 (client)

ターボリナックス

Turbolinux Appliance Server 3.0

Turbolinux Appliance Server 3.0 (x64)

Turbolinux Server 11

Turbolinux Server 11 (x64)

サイバートラスト株式会社

Asianux Server 4.0 (x86-64)

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

Asianux Server 3.0

Asianux Server 3.0 (x86-64)

Asianux Server 4.0

GNU Project

GNU Mailman 2.1.14rc1 未満

アップル

Apple Mac OS X v10.5.8

Apple Mac OS X v10.6 から v10.6.6

Apple Mac OS X Server v10.5.8

Apple Mac OS X Server v10.6 から v10.6.6

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-3089	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3089
National Vulnerability Database (NVD)
2	CVE-2010-3089	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3089

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
Apple Security Updates
1	HT4581	http://support.apple.com/kb/HT4581
Asianux Technical Support Network
2	mailman-2.1.11-3.4.AXS3	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=1358
Mailman-Announce
3	000150	http://mail.python.org/pipermail/mailman-announce/2010-September/000150.html
MIRACLE LINUX アップデート情報
4	2194	http://www.miraclelinux.com/support/index.php?q=node/99&errata_id=2194
Red Hat Security Advisory
5	RHSA-2011:0307	https://rhn.redhat.com/errata/RHSA-2011-0307.html
6	RHSA-2011:0308	https://rhn.redhat.com/errata/RHSA-2011-0308.html
Turbolinux Security Advisory
7	TLSA-2011-14	http://www.turbolinux.co.jp/security/2011/TLSA-2011-14j.txt

その他

No	名前	URL
JVN
1	JVNVU#636925	http://jvn.jp/cert/JVNVU636925
Secunia Advisory
2	SA41265	http://secunia.com/advisories/41265
3	SA43549	http://secunia.com/advisories/43549
4	SA43580	http://secunia.com/advisories/43580
SecurityFocus
5	43187	http://www.securityfocus.com/bid/43187
VUPEN Security
6	VUPEN/ADV-2011-0542	http://www.vupen.com/english/advisories/2011/0542

変更履歴

No	変更内容	変更日
0	[2011年03月28日] 掲載 [2011年04月05日] 影響を受けるシステム：ミラクル・リナックス (mailman-2.1.11-3.4.AXS3) の情報を追加ベンダ情報：ミラクル・リナックス (mailman-2.1.11-3.4.AXS3) を追加 [2011年06月03日] 影響を受けるシステム：ターボリナックス (TLSA-2011-14) の情報を追加ベンダ情報：ターボリナックス (TLSA-2011-14) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2010-3089

概要	Multiple cross-site scripting (XSS) vulnerabilities in GNU Mailman before 2.1.14rc1 allow remote authenticated users to inject arbitrary web script or HTML via vectors involving (1) the list information field or (2) the list description field.
公表日	2010年9月16日5:00
登録日	2021年1月29日11:04
最終更新日	2024年11月21日10:18

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:gnu:mailman:2.1.5:::::::*
cpe:2.3:a:gnu:mailman:2.1.11:rc1::::::
cpe:2.3:a:gnu:mailman:2.1.3:::::::*
cpe:2.3:a:gnu:mailman:2.1.8:::::::*
cpe:2.3:a:gnu:mailman:2.1.11:rc2::::::
cpe:2.3:a:gnu:mailman:2.1.13:rc1::::::
cpe:2.3:a:gnu:mailman:2.1.11:::::::*
cpe:2.3:a:gnu:mailman:2.1.2:::::::*
cpe:2.3:a:gnu:mailman:2.1.9:::::::*
cpe:2.3:a:gnu:mailman:2.1:stable::::::
cpe:2.3:a:gnu:mailman:2.1.6:::::::*
cpe:2.3:a:gnu:mailman:2.1:alpha::::::
cpe:2.3:a:gnu:mailman:2.1:::::::*
cpe:2.3:a:gnu:mailman::::::::		2.1.13
cpe:2.3:a:gnu:mailman:2.1:beta::::::
cpe:2.3:a:gnu:mailman:2.1.10:::::::*
cpe:2.3:a:gnu:mailman:2.1.1:::::::*
cpe:2.3:a:gnu:mailman:2.1.12:::::::*
cpe:2.3:a:gnu:mailman:2.1.7:::::::*
cpe:2.3:a:gnu:mailman:2.1.4:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://lists.apple.com/archives/security-announce/2011/Mar/msg00006.html
2	http://lists.apple.com/archives/security-announce/2011/Mar/msg00006.html
3	http://lists.fedoraproject.org/pipermail/package-announce/2010-December/052297.html
4	http://lists.fedoraproject.org/pipermail/package-announce/2010-December/052297.html
5	http://lists.fedoraproject.org/pipermail/package-announce/2010-December/052312.html
6	http://lists.fedoraproject.org/pipermail/package-announce/2010-December/052312.html
7	http://lists.opensuse.org/opensuse-security-announce/2011-05/msg00005.html
8	http://lists.opensuse.org/opensuse-security-announce/2011-05/msg00005.html
9	http://lists.opensuse.org/opensuse-updates/2011-05/msg00000.html
10	http://lists.opensuse.org/opensuse-updates/2011-05/msg00000.html
11	http://mail.python.org/pipermail/mailman-announce/2010-September/000150.html
12	http://mail.python.org/pipermail/mailman-announce/2010-September/000150.html
13	http://mail.python.org/pipermail/mailman-announce/2010-September/000151.html
14	http://mail.python.org/pipermail/mailman-announce/2010-September/000151.html
15	http://marc.info/?l=oss-security&m=128438736513097&w=2
16	http://marc.info/?l=oss-security&m=128438736513097&w=2
17	http://marc.info/?l=oss-security&m=128440851513718&w=2
18	http://marc.info/?l=oss-security&m=128440851513718&w=2
19	http://marc.info/?l=oss-security&m=128441135117819&w=2
20	http://marc.info/?l=oss-security&m=128441135117819&w=2
21	http://marc.info/?l=oss-security&m=128441237618793&w=2
22	http://marc.info/?l=oss-security&m=128441237618793&w=2
23	http://marc.info/?l=oss-security&m=128441369020123&w=2
24	http://marc.info/?l=oss-security&m=128441369020123&w=2
25	http://secunia.com/advisories/41265	Vendor Advisory
26	http://secunia.com/advisories/41265	Vendor Advisory
27	http://secunia.com/advisories/42502
28	http://secunia.com/advisories/42502
29	http://secunia.com/advisories/43294
30	http://secunia.com/advisories/43294
31	http://secunia.com/advisories/43425
32	http://secunia.com/advisories/43425
33	http://secunia.com/advisories/43549
34	http://secunia.com/advisories/43549
35	http://secunia.com/advisories/43580
36	http://secunia.com/advisories/43580
37	http://support.apple.com/kb/HT4581
38	http://support.apple.com/kb/HT4581
39	http://www.debian.org/security/2011/dsa-2170
40	http://www.debian.org/security/2011/dsa-2170
41	http://www.redhat.com/support/errata/RHSA-2011-0307.html
42	http://www.redhat.com/support/errata/RHSA-2011-0307.html
43	http://www.redhat.com/support/errata/RHSA-2011-0308.html
44	http://www.redhat.com/support/errata/RHSA-2011-0308.html
45	http://www.ubuntu.com/usn/USN-1069-1
46	http://www.ubuntu.com/usn/USN-1069-1
47	http://www.vupen.com/english/advisories/2010/3271
48	http://www.vupen.com/english/advisories/2010/3271
49	http://www.vupen.com/english/advisories/2011/0436
50	http://www.vupen.com/english/advisories/2011/0436
51	http://www.vupen.com/english/advisories/2011/0460
52	http://www.vupen.com/english/advisories/2011/0460
53	http://www.vupen.com/english/advisories/2011/0542
54	http://www.vupen.com/english/advisories/2011/0542
55	https://bugzilla.redhat.com/show_bug.cgi?id=631859
56	https://bugzilla.redhat.com/show_bug.cgi?id=631859
57	https://bugzilla.redhat.com/show_bug.cgi?id=631881
58	https://bugzilla.redhat.com/show_bug.cgi?id=631881
59	https://launchpad.net/mailman/+milestone/2.1.14rc1
60	https://launchpad.net/mailman/+milestone/2.1.14rc1

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

構成1	以上	以下	より上	未満
cpe:2.3:a:gnu:mailman:2.1.5:::::::*
cpe:2.3:a:gnu:mailman:2.1.11:rc1::::::
cpe:2.3:a:gnu:mailman:2.1.3:::::::*
cpe:2.3:a:gnu:mailman:2.1.8:::::::*
cpe:2.3:a:gnu:mailman:2.1.11:rc2::::::
cpe:2.3:a:gnu:mailman:2.1.13:rc1::::::
cpe:2.3:a:gnu:mailman:2.1.11:::::::*
cpe:2.3:a:gnu:mailman:2.1.2:::::::*
cpe:2.3:a:gnu:mailman:2.1.9:::::::*
cpe:2.3:a:gnu:mailman:2.1:stable::::::
cpe:2.3:a:gnu:mailman:2.1.6:::::::*
cpe:2.3:a:gnu:mailman:2.1:alpha::::::
cpe:2.3:a:gnu:mailman:2.1:::::::*
cpe:2.3:a:gnu:mailman::::::::		2.1.13
cpe:2.3:a:gnu:mailman:2.1:beta::::::
cpe:2.3:a:gnu:mailman:2.1.10:::::::*
cpe:2.3:a:gnu:mailman:2.1.1:::::::*
cpe:2.3:a:gnu:mailman:2.1.12:::::::*
cpe:2.3:a:gnu:mailman:2.1.7:::::::*
cpe:2.3:a:gnu:mailman:2.1.4:::::::*