Debian セキュリティ勧告

DSA-756-1 squirrelmail -- 複数の脆弱性

報告日時:
2005-07-13
影響を受けるパッケージ:
squirrelmail
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 314374, バグ 317094.
Mitre の CVE 辞書: CVE-2005-1769, CVE-2005-2095.
詳細:

広く利用されているウェブメールシステム Squirrelmail に複数の欠陥が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

  • CAN-2005-1769

    Martijn Brinkers さんがクロスサイトスクリプティング脆弱性を発見しました。 リモートの攻撃者に URL やメールのメッセージへの任意のウェブスクリプトや HTML の差し込みを許します。

  • CAN-2005-2095

    GulfTech Security の James Bercegay さんが 変数処理に脆弱性を発見しました。 これは攻撃者により他人のプリファレンスの改変につながる可能性があり、 さらにはプリファレンスを読み取って www-data から書き込み可能な場所にあるファイルに書き込むことで クロスサイトスクリプティングにつながる可能性があります。

旧安定版 (old stable) ディストリビューション (woody) では、この問題はバージョン 1.2.6-4 で修正されています。

安定版 (stable) ディストリビューション (sarge) では、この問題はバージョン 1.4.4-6sarge1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.4.4-6sarge1 で修正されています。

直ちに squirrelmail パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4.dsc
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4_all.deb

Debian GNU/Linux 3.1 (sarge)

ソース:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1.dsc
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。