Andrew Archibald a découvert que la dernière mise à jour de squirrelmail devant corriger plusieurs problèmes, introduisait une faiblesse qui pouvait être exploitée lorsque l'utilisateur voyait sa session expirer. Voici l'intégralité du bulletin officiel :
Plusieurs vulnérabilités ont été découvertes dans Squirrelmail, une interface web pour le courrier électronique, couramment utilisée. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :
- CAN-2005-0104
Les développeurs amont ont remarqué qu'une variable non sécurisée permettait les attaques de script sur les éléments dynamiques.
- CAN-2005-0152
Grant Hollingworth a découvert que la manipulation dans certaines circonstances de liens permettait l'exécution de code arbitraire avec les droits de www-data. Ce problème n'est présent que dans la version 1.2.6 de Squirrelmail.
Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.2.6-3.
Pour la distribution instable (Sid), le problème a été corrigé dans la version 1.4.4-1.
Nous vous recommandons de mettre à jour votre paquet squirrelmail.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.
Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.