| ホーム | セキュリティ | 解説文書 | メーリングリスト(英語) |
| ヘルプ | ダウンロード | 開発者 |
| 一覧 |
| ホーム |
| セキュリティ |
| 特色 |
| 国際化 |
| 大言壮語,論文,ロゴ |
| 利用中のMailman |
| 旧バージョン |
| バグ,パッチ |
| ミラー |
| Email Us |
| mailman-users@python.org |
 |
| © 1998-2005 Free Software Foundation, Inc. Verbatim copying and distribution of this entire article is permitted in any medium, provided this notice is preserved. |
Mailman セキュリティ問題
GNU Mailman の開発者はセキュリティの問題を真剣に考えています. Mailman に ついてのセキュリティの心配ごとは, mailman-security at python dot org へメールしてください. これは非公開のリストで, Mailman の中核開発者に届きます.既知の問題と修正
- CAN-2005-0202 -- Mailman 2.1 系統のバージョン 2.1.5 に至るまで
抱えている非常に重大な問題です. Mailman 2.1.6 は影響されません. この問題により
会員パスワードの漏洩を招くこともあります.
即座に簡単に修正する方法は, 実行ファイル /usr/local/mailman/cgi-bin/private を削除することです. しかし, この方法はリストで非公開保存書庫を利用して いると使うことができません. パッチの適用については以下をご覧ください.
この脆弱性が現れるかどうかは, Apache サーバーのバージョンとどのように 設定したかにもよります. 現時点でどの組み合わせでセキュリティホールが現れる か, 確実には分かっていません. しかし, Apache 2.0 は脆弱でないと信じられる ようで, Apache 1.3 のサイトの多くは脆弱であると見られます. どちらにしても, 安全のためには最悪のケースを想定する必要があります. この Mailman パッチ をできるだけ早く 当てることをお勧めします.
さらに追加して, Mailman 2.1.6 の reset_pw.py スクリプト を利用して, 会員のパスワードを再生成するとよいでしょう. このファイルを Mailman を インストールした bin ディレクトリに入れてください. スクリプトを実行した後は, cron/mailpasswds を手動で実行して会員に 新しいパスワードを知らせるとよいでしょう.
この問題を見つけた Marcus Meissner に感謝します.
追記: mailman-2.0.x にも同じバグが存在します. この場合 Python 1.5.x を 使っていると, パッチの適用ができません. こちらの記事 を 参考に, 書き換えてください.