Alerta de Segurança Debian

DSA-1010-1 ilohamail -- Falta de limpeza da entrada

Data do Alerta:
20 Mar 2006
Pacotes Afetados:
ilohamail
Vulnerável:
Sim
Referência à base de dados de segurança:
No sistema de acompanhamento de bugs do Debian: Bug 304525.
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 13175.
No dicionário CVE do Mitre: CVE-2005-1120.
Informações adicionais:

Ulf Härnhammar do Projeto de Auditoria de Segurança do Debian ("Debian Security Audit Project") descobriu que o ilohamail, um cliente leve IMAP/POP3 multilíngue baseado em web, não faz sempre limpeza na entrada provida por usuários, o que permite que atacantes remotos injetem script web ou HTML arbitrários.

A antiga distribuição estável ("woody") não contém o pacote ilohamail.

Para a distribuição estável ("sarge") estes problemas foram corrigidos na versão 0.8.14-0rc3sarge1.

Para a distribuição instável ("sid") estes problemas foram corrigidos na versão 0.8.14-0rc3sarge1.

Recomendamos que você atualize seu pacote ilohamail.

Corrigido em:

Debian GNU/Linux 3.1 (sarge)

Fonte:
http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14-0rc3sarge1.dsc
http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14-0rc3sarge1.diff.gz
http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14-0rc3sarge1_all.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.