Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-756-1 squirrelmail -- Mehrere Verwundbarkeiten

Datum des Berichts:

13. Jul 2005

Betroffene Pakete:

squirrelmail

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Debian-Fehlerdatenbank: Fehler 314374, Fehler 317094.
In Mitres CVE-Verzeichnis: CVE-2005-1769, CVE-2005-2095.

Weitere Informationen:

Mehrere Verwundbarkeiten wurden in Squirrelmail entdeckt, einem weitverbreiteten Webmail-System. Das Common Vulnerabilities and Exposures project identifiziert die folgenden Probleme:

• CAN-2005-1769

  Martijn Brinkers entdeckte Verwundbarkeiten durch Site-übergreifendes Skripting, welche entfernten Angreifern erlauben, beliebige Webskripte oder HTML-Code in die URL sowie E-Mail-Nachrichten einzufügen.

• CAN-2005-2095

  James Bercegay von GulfTech Security entdeckte eine Verwundbarkeit in der Behandlung von Variablen, die Angreifern erlaubt, die Voreinstellungen anderer Leute zu ändern und diese zu lesen. Außerdem können Dateien an jedem Ort geschrieben werden, für den www-data Schreibzugriff hat. Ferner ermöglicht die Verwundbarkeit Site-übergreifendes Skripting.

Für die alte Stable-Distribution (Woody) wurden diese Probleme in Version 1.2.6-4 behoben.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 1.4.4-6sarge1 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 1.4.4-6sarge1 behoben.

Wir empfehlen Ihnen, Ihr squirrelmail-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4.dsc

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4.diff.gz

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz

Architektur-unabhängige Dateien:

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4_all.deb

Debian GNU/Linux 3.1 (sarge)

Quellcode:

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1.dsc

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1.diff.gz

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4.orig.tar.gz

Architektur-unabhängige Dateien:

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français svenska

Wie stellt man die Standardsprache ein