Рекомендация Debian по безопасности
DSA-220-1 squirrelmail -- перекрёстные между сайтами скрипты
- Дата сообщения:
- 02.01.2003
- Затронутые пакеты:
- squirrelmail
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 6302.
В каталоге Mitre CVE: CVE-2002-1341. - Более подробная информация:
-
Было сообщено об уязвимости, позволяющей писать скрипты, перекрёстные между сайтами, в squirrelmail, пакете web-почты с широкими возможностями, написанном на PHP4. Squirrelmail не всегда чистит переменные, предоставленные пользователем, что делает его уязвимым к атакам с помощью перекрёстных между сайтами скриптов.
В текущем стабильном дистрибутиве (woody) эта проблема исправлена в версии 1.2.6-1.3. Старый стабильный дистрибутив (potato) не изменён, поскольку он не содержит пакета squirrelmail.
Обновлённый пакет для нестабильного дистрибутива (sid) ожидается в ближайшее время.
Мы рекомендуем вам обновить пакет squirrelmail.
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.