Omitir navegación rápida

• Acerca de Debian
• Noticias
• Cómo obtener Debian
• Soporte
• Rincón de los desarrolladores
• Mapa del sitio
• Búsqueda

Aviso de seguridad de Debian

DSA-191-1 squirrelmail -- scripts a través del sitio

Fecha del informe:

7 de nov de 2002

Paquetes afectados:

squirrelmail

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 5949, Id. en BugTraq 5763.
En el diccionario CVE de Mitre: CVE-2002-1131, CVE-2002-1132, CVE-2002-1276.

Información adicional:

Se han encontrado algunas vulnerabilidades de scripts a través del sitio en squirrelmail, un paquete de webmail con muchos extras escrito en PHP4. El proyecto Common Vulnerabilities and Exposures (CVE) -Vulnerabilidades y exposiciones comunes- identificó las siguientes vulnerabilidades:

1. CAN-2002-1131: La entrada del usuario no siempre se limpia, por lo que es posible la ejecución de código arbitrario en un computador cliente. Esto puede ocurrir tras seguir una URL malvada o tras ver una entrada malvada de la libreta de direcciones.
2. CAN-2002-1132: Otro problema hacía posible que un atacante obtuviera información sensible bajo ciertas condiciones. Cuando se añadía un argumento mal formado a un enlace, se generaba una página de error que contenía la ruta absoluta del script. Sin embargo, esta información está disponible a través del archivo Contents de la distribución de todos modos.

Estos problema se han corregido en la versión 1.2.6-1.1 para la distribución estable actual (woody) y en la versión 1.2.8-1.1 para la distribución inestable (sid). La distribución estable anterior (potato) no se ve afectada porque no contiene el paquete squirrelmail.

Le recomendamos que actualice el paquete squirrelmail.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.dsc

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.diff.gz

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz

Componentes independientes de la arquitectura:

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.

Esta página también está disponible en los siguientes idiomas:

dansk Deutsch English français Português suomi svenska

Cómo modificar el idioma por defecto de los documentos