Säkerhetsbulletin från Debian
DSA-220-1 squirrelmail -- serveröverskridande skriptproblem
- Rapporterat den:
- 2003-01-02
- Berörda paket:
- squirrelmail
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 6302.
I Mitres CVE-förteckning: CVE-2002-1341. - Ytterligare information:
-
En serveröverskridande skriptsårbarhet har upptäckts i squirrelmail, ett funktionsrik webbe-postpaket skrivet i PHP4. Squirrelmail städar inte variabler tillhandahållna av användaren överallt, vilket gör det sårbart för ett serveröverskridande skriptangrepp.
För den nuvarande stabila utgåvan (Woody) har detta problem rättats i version 1.2.6-1.3. Den gamla stabila utgåvan (Potato) påverkas inte eftersom det inte innehåller något squirrelmail-paket.
Ett uppdaterat paket för den instabila utgåvan (Sid) förväntas inom kort.
Vi rekommenderar att ni uppgraderar ert squirrelmail-paket.
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.