Debians sikkerhedsbulletin

DSA-191-1 squirrelmail -- "cross site"-udførelse af script

Rapporteret den:

7. nov 2002

Berørte pakker:

Sårbar:

Referencer i sikkerhedsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5949, BugTraq-id 5763.
I Mitres CVE-ordbog: CVE-2002-1131, CVE-2002-1132, CVE-2002-1276.

Yderligere oplysninger:

Flere sårbarheder i forbindelse med "cross site"-udførelse af scripts er fundet i squirrelmail, en omfattende webmail-pakke skrevet i PHP4. Projektet "Common Vulnerabilities and Exposures" (CVE) har fundet frem til følgende sårbarheder:

CAN-2002-1131: Brugeres inddata gennemgås ikke altid, hvorfor det kan være muligt at udføre vilkårlig kode på klientcomputeren. Dette kan ske efter at have fulgt en ondsindet URL eller ved at kigge på en ondsindet post i en adressebog.
CAN-2002-1132: Et andet problem kunne gøre det muligt for en angriber at få adgang til følsomme oplysninger under visse betingelser. Når er misdannet parameter føjes til et link, genereres en fejlside som indeholder scriptets absolutte stinavn. Dog er denne oplysning under alle omstændigheder tilgængelig via Contents-filen i distributionen.

Disse problemer er rettet i version 1.2.6-1.1 i den aktuelle stabile distribution (woody) og i version 1.2.8-1.1 i den ustabile distribution (sid). Den gamle stabile distribution (potato) er ikke påvirket, da den ikke indeholder en squirrelmail-pakke.

Vi anbefaler at du opgraderer din squirrelmail-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.dsc; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.diff.gz; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.