Säkerhetsbulletin från Debian

DSA-1010-1 ilohamail -- städar inte indata

Rapporterat den:

2006-03-20

Berörda paket:

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 304525.
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 13175.
I Mitres CVE-förteckning: CVE-2005-1120.

Ytterligare information:

Ulf Härnhammar från Debians säkerhetsgranskningsprojekt upptäckte att ilohamail, en lättviktig flerspråkig webbaserad IMAP-/POP3-klient, inte alltid städar indata från användare, vilket gör det möjligt för angripare utifrån att injicera godtyckliga webbskript eller HTML.

Den gamla stabila utgåvan (Woody) innehåller inte paketet ilohamail.

För den stabila utgåvan (Sarge) har dessa problem rättats i version 0.8.14-0rc3sarge1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 0.8.14-0rc3sarge1.

Vi rekommenderar att ni uppgraderar ert ilohamail-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:: http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14-0rc3sarge1.dsc; http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14-0rc3sarge1.diff.gz; http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14-0rc3sarge1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.