Säkerhetsbulletin från Debian

DSA-756-1 squirrelmail -- flera sårbarheter

Rapporterat den:
2005-07-13
Berörda paket:
squirrelmail
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 314374, Fel 317094.
I Mitres CVE-förteckning: CVE-2005-1769, CVE-2005-2095.
Ytterligare information:

Flera sårbarheter har upptäckts i Squirrelmail, ett ofta använt webbe-postsystem. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CAN-2005-1769

    Martijn Brinkers upptäckte serveröverskridande skriptsårbarheter som tillåter angripare utifrån att injicera godtyckliga webbskript eller HTML-kod i URL:er och e-postmeddelanden.

  • CAN-2005-2095

    James Bercegay från GulfTech Security upptäckte en sårbarhet i hanteringen av variabler, vilken kunde leda till att en angripare kunde ändra andras inställningar och möjligen kunde läsa dem och skriva filer på godtycklig plats skrivbar av www-data, samt andra serveröverskridande skriptproblem.

För den gamla stabila utgåvan (Woody) har dessa problem rättats i version 1.2.6-4.

För den stabila utgåvan (Sarge) har dessa problem rättats i version 1.4.4-6sarge1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.4.4-6sarge1.

Vi rekommenderar att ni uppgraderar ert squirrelmail-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4.dsc
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4_all.deb

Debian GNU/Linux 3.1 (sarge)

Källkod:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1.dsc
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.