Säkerhetsbulletin från Debian

DSA-220-1 squirrelmail -- serveröverskridande skriptproblem

Rapporterat den:
2003-01-02
Berörda paket:
squirrelmail
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 6302.
I Mitres CVE-förteckning: CVE-2002-1341.
Ytterligare information:

En serveröverskridande skriptsårbarhet har upptäckts i squirrelmail, ett funktionsrik webbe-postpaket skrivet i PHP4. Squirrelmail städar inte variabler tillhandahållna av användaren överallt, vilket gör det sårbart för ett serveröverskridande skriptangrepp.

För den nuvarande stabila utgåvan (Woody) har detta problem rättats i version 1.2.6-1.3. Den gamla stabila utgåvan (Potato) påverkas inte eftersom det inte innehåller något squirrelmail-paket.

Ett uppdaterat paket för den instabila utgåvan (Sid) förväntas inom kort.

Vi rekommenderar att ni uppgraderar ert squirrelmail-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.dsc
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.