Alerta de Segurança Debian

DSA-1010-1 ilohamail -- Falta de limpeza da entrada

Data do Alerta:

20 Mar 2006

Pacotes Afetados:

Vulnerável:

Sim

Referência à base de dados de segurança:

No sistema de acompanhamento de bugs do Debian: Bug 304525.
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 13175.
No dicionário CVE do Mitre: CVE-2005-1120.

Informações adicionais:

Ulf Härnhammar do Projeto de Auditoria de Segurança do Debian ("Debian Security Audit Project") descobriu que o ilohamail, um cliente leve IMAP/POP3 multilíngue baseado em web, não faz sempre limpeza na entrada provida por usuários, o que permite que atacantes remotos injetem script web ou HTML arbitrários.

A antiga distribuição estável ("woody") não contém o pacote ilohamail.

Para a distribuição estável ("sarge") estes problemas foram corrigidos na versão 0.8.14-0rc3sarge1.

Para a distribuição instável ("sid") estes problemas foram corrigidos na versão 0.8.14-0rc3sarge1.

Recomendamos que você atualize seu pacote ilohamail.

Corrigido em:

Debian GNU/Linux 3.1 (sarge)

Fonte:: http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14-0rc3sarge1.dsc; http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14-0rc3sarge1.diff.gz; http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14.orig.tar.gz
Componente independente de arquitetura:: http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14-0rc3sarge1_all.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.