Debianin tietoturvatiedote

DSA-220-1 squirrelmail -- ristiinlinkittävä komentosarja

Ilmoitettu:
2. 1.2003
Vaikutuksen alaiset paketit:
squirrelmail
Altis:
Kyllä
Viittaukset tietoturvatietokantoihin:
Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6302.
Mitren CVE-sanakirjassa: CVE-2002-1341.
Lisätietoa:

Squirrelmailista, PHP4:llä kirjoitetusta monipuolisesta www-sähköposti-paketista, on löydetty ristiinlinkittävän komentosarjan kautta hyväksikäytettävä haavoittuvuus. Squirrelmail ei siisti käyttäjän määrittelemiä muuttujia kaikkialla, mikä altistaa sen ristiinlinkittävän komentosarjan kautta tapahtuvalle hyökkäykselle.

Ongelma on korjattu nykyisen vakaan jakelun (woody) versiossa 1.2.6-1.3 . Aiempi vakaa jakelu (potato) ei ole altis tälle, sillä se ei sisällä squirrelmail-pakettia.

Korjattu versio epävakaalle jakelulle (sid) ilmestyy piakkoin.

Suosittelemme päivittämään squirrelmail-paketin.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.dsc
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Arkkitehtuuririippumaton komponentti:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3_all.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.