ウェブメールアプリケーション SquirrelMail に、リモートから攻撃可能な複数 の問題が発見されました。 The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
多数のページでクロスサイトスクリプティング攻撃を許すため、攻撃により 機密のセッションデータを盗むことが可能です。
SquirrelMail が map_yp_alias を有効にするよう設定している場合、認証さ れたユーザからのコードインジェクションが可能です。この設定は規定値で はありません。
ブラウザに細工したクッキーを送り込むことで、アクティブユーザのセッシ ョンをハイジャック可能です。
細工した HTML メールが CSS ポジショニング機能を使えるため、 SquirrelMail のユーザインターフェースに電子メールの内容を重ねて表示し、 フィッシング攻撃を行うことが可能です。
旧安定版 (oldstable) ディストリビューション (etch) では、これらの問題は バージョン 1.4.9a-5 で修正されています。
安定版 (stable) ディストリビューション (lenny) では、これらの問題はバ ージョン 1.4.15-4+lenny2 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 1.4.19-1 で修正されています。
直ぐに squirrelmail パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。