Aviso de seguridad de Debian

DSA-220-1 squirrelmail -- script a través del sitio

Fecha del informe:
2 de ene de 2003
Paquetes afectados:
squirrelmail
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 6302.
En el diccionario CVE de Mitre: CVE-2002-1341.
Información adicional:

Se ha descubierto una vulnerabilidad de script a través del sitio en squirrelmail, un paquete de correo web escrito en PHP4 y rico en características. Squirrelmail no saneaba en el código las variables proporcionadas por el usuario haciéndolo vulnerable a un ataque de script a través del sitio.

Para la distribución estable actual (woody), este problema se ha corregido en la versión 1.2.6-1.3. La distribución estable anterior (potato) no se ve afectada porque no contenía ningún paquete de squirrelmail.

Se espera que pronto esté disponible un paquete actualizado para la distribución inestable (sid).

Le recomendamos que actualice el paquete squirrelmail.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.dsc
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.