发布日期：2001-12-05
更新日期：2001-12-14

受影响系统：

Ken'ichi Fukamachi fml 3.0
   + Debian Linux 2.2

描述：

---

BUGTRAQ ID: 3623

fml邮件列表服务器为Linux和其它操作系统提供了邮件列表管理功能，包括多个Perl脚
本和一些基于Web的支持文档。

该软件存在一个安全问题，可能导致恶意用户获取其他用户的敏感数据。

当为支持文档创建索引页时，由于Email的“subject”域没有正确过滤“<”和“>”，
导致恶意攻击者嵌入任意HTML代码，从而导致跨站脚本攻击。

<*来源：Wichert Akkerman (wichert@wiggy.net)
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-12/0042.html
        http://www.debian.org/security/2001/dsa-088
*>



建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时停止使用该邮件列表

厂商补丁：

Debian已经发布了安全公告（DSA-088-1）和相应补丁程序：

Debian Linux:
http://www.debian.org/security/2001/dsa-088

Debian Upgrade 2.2 (all platforms) fml_3.0+beta.20000106-5_all.deb
+beta.20000106-5_all.deb>http://security.debian.org/dists/stable/updates/main/binary-all/fml_3.0
+beta.20000106-5_all.deb



浏览次数：3587
严重程度：0（网友投票）