Bulletin d'alerte Debian

DSA-2091-1 squirrelmail -- Pas d'implémentation de jeton spécifique à l'utilisateur

Date du rapport :
12 août 2010
Paquets concernés :
squirrelmail
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 543818.
Dans le dictionnaire CVE du Mitre : CVE-2009-2964, CVE-2010-2813.
Plus de précisions :

SquirrelMail, une application de messagerie électronique par le web, n'utilise pas de jeton spécifique à l'utilisateur pour les formulaires web. Cela permet a un attaquant distant de réaliser une attaque par contrefaçon de requête intersite (CSRF). L'attaquant pourrait contourner l'authentification de victimes indéterminées et d'envoyer des messages ou modifier les préférences de l'utilisateur entre autres actions, en piégeant la victime à suivre un lien contrôlé par l'attaquant.

De plus, un déni de service a été corrigé, qui pourrait être déclenché si un mot de passe contenant des caractères codés sur huit bits était utilisé pour se connecter (CVE-2010-2813).

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.4.15-4+lenny3.1.

Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.4.21-1.

Nous vous recommandons de mettre à jour vos paquets squirrelmail.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15.orig.tar.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1.dsc
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.