Debianin tietoturvatiedote

DSA-191-1 squirrelmail -- ristiinlinkittävä komentosarja

Ilmoitettu:

7.11.2002

Vaikutuksen alaiset paketit:

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 5949, BugTraq-tunniste 5763.
Mitren CVE-sanakirjassa: CVE-2002-1131, CVE-2002-1132, CVE-2002-1276.

Lisätietoa:

Squirrelmailista, monipuolisesta PHP4:llä kirjoitetusta www-sähköposti-paketista, on löydetty useita ristiinlinkittävälle komentosarjalle alttiita haavoittuvuuksia. The Common Vulnerabilities and Exposures (CVE)-projekti tunnisti seuraavat haavoittuvuudet:

CAN-2002-1131: Käyttäjän syötettä ei aina siistitä, joten mielivaltaisen koodin ajaminen asiakaskoneella on mahdollista. Tämä on mahdollista mikäli on seurattu pahantahtoista URL-linkkiä tai avattu pahantahtoinen osoitekirjan merkintä.
CAN-2002-1132: Erään toisen ongelman vuoksi hyökkääjän on mahdollista päästä käsiksi arkaluontoiseen tietoon mikäli tietyt ehdot täyttyvät. Kun linkkiin on lisätty vääränmuotoinen argumentti, muodostetaan virheilmoitussivu joka sisältää skriptin absoluuttisen tiedostopolun. Tämä tieto on kuitenkin saatavilla joka tapauksessa jakelun Contents-tiedoston kautta.

Nämä ongelmat on korjattu nykyisen vakaan jakelun (woody) versiossa 1.2.6-1.1 ja epävakaan jakelun (sid) versiossa 1.2.8-1.1 . Aiempi vakaa jakelu (potato) ei ole altis tälle, sillä se ei sisällä squirrelmail-pakettia.

Suosittelemme päivittämään squirrelmail-paketin.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.dsc; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.diff.gz; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Arkkitehtuuririippumaton komponentti:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2_all.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.