Alerta de Segurança Debian

DSA-662-2 squirrelmail -- várias vulnerabilidades

Data do Alerta:

14 Mar 2005

Pacotes Afetados:

Vulnerável:

Sim

Referência à base de dados de segurança:

No sistema de acompanhamento de bugs do Debian: Bug 292714, Bug 295836.
No dicionário CVE do Mitre: CVE-2005-0104, CVE-2005-0152.

Informações adicionais:

Andrew Archibald descobriu que a última atualização do squirrelmail que deveria corrigir vários problemas causou uma regreção que aparecia quando o usuário chega ao limite de tempo de uma sessão. O alerta original segue abaixo:

Várias vulnerabilidades foram descobertas no Squirrelmail, um sistema de webmail muito usado. O Common Vulnerabilities and Exposures project identificou os seguintes problemas:

CAN-2005-0104
Os desenvolvedores notaram que uma variável não-sanitizada poderia levar à cross site scripting.

CAN-2005-0152
Grant Hollingworth descobriu que sob dadas circunstâncias a manipulação de URL poderia levar à execução de código arbitrário com os privilégios de www-data. Este problema existe somente na versão 1.2.6 do Squirrelmail.

Na distribuição estável (woody), este problema foi corrigido na versão 1.2.6-3.

Na distribuição instável (sid), o problema que a afeta foi corrigido na versão 1.4.4-1.

Nós recomendamos que você atualize seu pacote squirrelmail.

Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.dsc; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.diff.gz; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Componente independente de arquitetura:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3_all.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.

Checksums MD5 dos arquivos listados estão disponíveis no alerta revisado.