Рекомендация Debian по безопасности

DSA-191-1 squirrelmail -- межсайтовый скриптинг

Дата сообщения:
07.11.2002
Затронутые пакеты:
squirrelmail
Уязвим:
Да
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 5949, Идентификатор BugTraq 5763.
В каталоге Mitre CVE: CVE-2002-1131, CVE-2002-1132, CVE-2002-1276.
Более подробная информация:

В squirrelmail, полнофункциональном пакете веб-почты на языке PHP4, было обнаружено несколько уязвимостей, приводящих к межсайтовому скриптингу. Проект Common Vulnerabilities and Exposures (CVE) определяет следующие проблемы:

  1. CAN-2002-1131: Пользовательские входные данные не всегда очищаются, поэтому на клиентском компьютере возможно выполнение произвольного кода. Это может произойти после открытия специально сформированного URL или при просмотре специально сформированной записи адресной книги.
  2. CAN-2002-1132: Другая проблема может позволить злоумышленнику при определённы условиях получить чувствительную информацию. При добавлении к ссылке специально сформированного аргумента создаётся страница с сообщением об ошибке, содержащая абсолютный путь сценария. Тем не менее, эта информация всё равно доступна через файл Contents дистрибутива.

Эти проблемы были исправлены в версии 1.2.6-1.1 для текущего стабильного выпуска (woody) и в версии 1.2.8-1.1 для нестабильного выпуска (sid). Предыдущий стабильный выпуск (potato) не подвержен этим проблемам, поскольку в нём отсутствует пакет squirrelmail.

Рекомендуется обновить пакет squirrelmail.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.dsc
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.