Debian-Sicherheitsankündigung

DSA-756-1 squirrelmail -- Mehrere Verwundbarkeiten

Datum des Berichts:
13. Jul 2005
Betroffene Pakete:
squirrelmail
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 314374, Fehler 317094.
In Mitres CVE-Verzeichnis: CVE-2005-1769, CVE-2005-2095.
Weitere Informationen:

Mehrere Verwundbarkeiten wurden in Squirrelmail entdeckt, einem weitverbreiteten Webmail-System. Das Common Vulnerabilities and Exposures project identifiziert die folgenden Probleme:

  • CAN-2005-1769

    Martijn Brinkers entdeckte Verwundbarkeiten durch Site-übergreifendes Skripting, welche entfernten Angreifern erlauben, beliebige Webskripte oder HTML-Code in die URL sowie E-Mail-Nachrichten einzufügen.

  • CAN-2005-2095

    James Bercegay von GulfTech Security entdeckte eine Verwundbarkeit in der Behandlung von Variablen, die Angreifern erlaubt, die Voreinstellungen anderer Leute zu ändern und diese zu lesen. Außerdem können Dateien an jedem Ort geschrieben werden, für den www-data Schreibzugriff hat. Ferner ermöglicht die Verwundbarkeit Site-übergreifendes Skripting.

Für die alte Stable-Distribution (Woody) wurden diese Probleme in Version 1.2.6-4 behoben.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 1.4.4-6sarge1 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 1.4.4-6sarge1 behoben.

Wir empfehlen Ihnen, Ihr squirrelmail-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4.dsc
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4_all.deb

Debian GNU/Linux 3.1 (sarge)

Quellcode:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1.dsc
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.