在 mailman 中發現一個弱點。GNU Mailman 2.x 版的 2.1.30 之前版本針對清除的應用程式/octet-stream MIME 部分使用 .obj 延伸模組。由於來自封存 Web 伺服器的 HTTP 回覆可能缺少 MIME 類型，且 Web 瀏覽器可能執行 MIME 探查，推斷 MIME 類型應該是 text/html，並執行 JavaScript 程式碼，所以此行為可能導致針對清單封存訪客的 XSS 攻擊。

針對 Debian 8「Jessie」，已在 1:2.1.18-2+deb8u5 版本中修正此問題。

建議您升級 mailman 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

偵測

Debian DLA-2200-1：mailman 安全性更新

medium Nessus Plugin ID 136290

版本 1.5