Debian セキュリティ勧告
DSA-191-1 squirrelmail -- クロスサイトスクリプティング
- 報告日時:
- 2002-11-07
- 影響を受けるパッケージ:
- squirrelmail
- 危険性:
- あり
- 参考セキュリティデータベース:
- (SecurityFocus の) Bugtraq データベース: BugTraq ID 5949, BugTraq ID 5763.
Mitre の CVE 辞書: CVE-2002-1131, CVE-2002-1132, CVE-2002-1276. - 詳細:
-
複数のクロスサイトスクリプティング脆弱性が PHP4 で書かれた機能豊富なウェブメールパッケージである squirrelmail に見つかりました。The Common Vulnerabilities and Exposures (CVE) project は以下の脆弱性を認識しています:
- CAN-2002-1131: ユーザ入力のサニタイズを行っていないことがあるため、 クライアントコンピュータで任意のコードを実行することが可能です。 これは悪意のある URL をたどる、あるいは悪意のあるアドレス帳エントリを表示することで発生します。
- CAN-2002-1132: 別の問題により、攻撃者が機密情報を獲得可能になる状況があります。 異常な引数をリンクに追加すると、 スクリプトの絶対パス名が含まれるエラーページが生成されます。 しかし、この情報は結局ディストリビューションの Contents ファイルから得られるものです。
この問題は現在の安定版 (stable) ディストリビューション (woody) ではバージョン 1.2.6-1.1、不安定版 (unstable) ディストリビューション (sid) ではバージョン 1.2.8-1.1 で修正されています。 旧安定版 (old stable) ディストリビューション (potato) には squirrelmail パッケージが含まれないため影響はありません。
直ちに squirrelmail パッケージをアップグレードすることを勧めます。
- 修正:
-
Debian GNU/Linux 3.0 (woody)
- ソース:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。