Hoppa över navigering

• Om Debian
• Nyheter
• Få tag på Debian
• Support
• Utvecklarhörnet
• Sidöversikt
• Sök

Säkerhetsbulletin från Debian

DSA-1802-2 squirrelmail -- flera sårbarheter

Rapporterat den:

2009-05-21

Berörda paket:

squirrelmail

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 528528.
I Mitres CVE-förteckning: CVE-2009-1578, CVE-2009-1579, CVE-2009-1580, CVE-2009-1581, CVE-2009-1381.

Ytterligare information:

Flera utifrån nåbara sårbarheter har upptäckts i SquirrelMail, en webbmailapplikation. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2009-1578

  Serveröverskridande skriptangrepp var möjliga via ett antal sidor, vilket tillät en angripare att stjäla känslig sessionsdata.

• CVE-2009-1579, CVE-2009-1381

  Kodinjicering var möjlig när SquirrelMail var konfigurerad att använda funktionen map_yp_alias för att autentisera användare. Detta är inte standardinställningen.

• CVE-2009-1580

  Det var möjligt att kapa en aktiv användarsession genom att plantera en specialskriven kaka i användarens webbläsare.

• CVE-2009-1581

  Specialskrivna HTML-brev kunde använda CSS:s funktion för placering av innehåll för att placera brevinnehåll över SquirrelMail:s användargränssnitt, vilket tillät phishing.

För den gamla stabila utgåvan (Etch) har dessa problem rättats i version 1.4.9a-5.

För den stabila utgåvan (Lenny) har dessa problem rättats i version 1.4.15-4+lenny2.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.4.19-1.

Vi rekommenderar att ni uppgraderar ert squirrelmail-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5.dsc

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5.diff.gz

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a.orig.tar.gz

Arkitekturoberoende komponent:

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5_all.deb

Debian GNU/Linux 5.0 (lenny)

Källkod:

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15.orig.tar.gz

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2.diff.gz

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2.dsc

Arkitekturoberoende komponent:

http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.

Denna sida finns även på följande språk:

dansk English 日本語 (Nihongo)

Så ställer du in standardspråkval för dokument