Aviso de seguridad de Debian
DSA-191-1 squirrelmail -- scripts a través del sitio
- Fecha del informe:
- 7 de nov de 2002
- Paquetes afectados:
- squirrelmail
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 5949, Id. en BugTraq 5763.
En el diccionario CVE de Mitre: CVE-2002-1131, CVE-2002-1132, CVE-2002-1276. - Información adicional:
-
Se han encontrado algunas vulnerabilidades de scripts a través del sitio en squirrelmail, un paquete de webmail con muchos extras escrito en PHP4. El proyecto Common Vulnerabilities and Exposures (CVE) -Vulnerabilidades y exposiciones comunes- identificó las siguientes vulnerabilidades:
- CAN-2002-1131: La entrada del usuario no siempre se limpia, por lo que es posible la ejecución de código arbitrario en un computador cliente. Esto puede ocurrir tras seguir una URL malvada o tras ver una entrada malvada de la libreta de direcciones.
- CAN-2002-1132: Otro problema hacía posible que un atacante obtuviera información sensible bajo ciertas condiciones. Cuando se añadía un argumento mal formado a un enlace, se generaba una página de error que contenía la ruta absoluta del script. Sin embargo, esta información está disponible a través del archivo Contents de la distribución de todos modos.
Estos problema se han corregido en la versión 1.2.6-1.1 para la distribución estable actual (woody) y en la versión 1.2.8-1.1 para la distribución inestable (sid). La distribución estable anterior (potato) no se ve afectada porque no contiene el paquete squirrelmail.
Le recomendamos que actualice el paquete squirrelmail.
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.