Debianin tietoturvatiedote

DSA-220-1 squirrelmail -- ristiinlinkittävä komentosarja

Ilmoitettu:

2. 1.2003

Vaikutuksen alaiset paketit:

squirrelmail

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6302.
Mitren CVE-sanakirjassa: CVE-2002-1341.

Lisätietoa:

Squirrelmailista, PHP4:llä kirjoitetusta monipuolisesta www-sähköposti-paketista, on löydetty ristiinlinkittävän komentosarjan kautta hyväksikäytettävä haavoittuvuus. Squirrelmail ei siisti käyttäjän määrittelemiä muuttujia kaikkialla, mikä altistaa sen ristiinlinkittävän komentosarjan kautta tapahtuvalle hyökkäykselle.

Ongelma on korjattu nykyisen vakaan jakelun (woody) versiossa 1.2.6-1.3 . Aiempi vakaa jakelu (potato) ei ole altis tälle, sillä se ei sisällä squirrelmail-pakettia.

Korjattu versio epävakaalle jakelulle (sid) ilmestyy piakkoin.

Suosittelemme päivittämään squirrelmail-paketin.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.dsc; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.diff.gz; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Arkkitehtuuririippumaton komponentti:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3_all.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.