Säkerhetsbulletin från Debian

DSA-1241-1 squirrelmail -- serveröverskridande skriptproblem

Rapporterat den:
2006-12-25
Berörda paket:
squirrelmail
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2006-6142.
Ytterligare information:

Martijn Brinkers upptäckte serveröverskridande skriptsårbarheter i mailto-parametern i webmail.php, parametrarna session och delete_draft i compose.php och genom en felaktighet i magicHTML-filtret. En angripare kunde använda dessa till exekvera skadlig JavaScript i användares webbpostsession.

Dessutom förbigicks ett problem med Internet Explorer <= 5: IE försöker gissa vilken MIME-typ en bilaga har baserat på innehållet, inte MIME-huvudet som sänds. Bilagor kunde fejka att vara en ”harmlös” JPEG medan de faktiskt sändes som HTML som Internet Explorer kom att visa.

För den stabila utgåvan (Sarge) har dessa problem rättats i version 2:1.4.4-10.

För den kommande stabila utgåvan (Etch) har dessa problem rättats i version 2:1.4.9a-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2:1.4.9a-1.

Vi rekommenderar att ni uppgraderar ert squirrelmail-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-10.dsc
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-10.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-10_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.