Bulletin d'alerte Debian

DSA-1241-1 squirrelmail -- Script intersites

Date du rapport :
25 décembre 2006
Paquets concernés :
squirrelmail
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2006-6142.
Plus de précisions :

Martijn Brinkers a découvert des vulnérabilités de script intersites dans le paramètre mailto de webmail.php, les paramètres de session et delete_draft de compose.php et par un raccourci dans le filtre magicHTML. Un attaquant peut abuser de cela pour exécuter du JavaScript malveillant dans les sessions de courriel sur la Toile d'un utilisateur.

Un contournement a aussi été réalisé pour Internet Explorer <= 5 : IE essaye de deviner le type MIME des fichiers joints en se basant sur son contenu, pas sur l'en-tête MIME envoyé. Les fichiers joints peuvent feindre d'être des JPEG inoffensifs, alors qu'ils sont en fait du HTML qu'affiche Internet Explorer.

Pour la distribution stable (Sarge), ce problème a été corrigé dans la version 2:1.4.4-10.

Pour la prochaine distribution stable (Etch), ce problème a été corrigé dans la versions 2:1.4.9a-1.

Pour la distribution instable (Sid), ce problème a été corrigé dans la versions 2:1.4.9a-1.

Nous vous recommandons de mettre à jour votre paquet squirrelmail.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-10.dsc
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-10.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-10_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.