Рекомендация Debian по безопасности
DSA-191-1 squirrelmail -- межсайтовый скриптинг
- Дата сообщения:
- 07.11.2002
- Затронутые пакеты:
- squirrelmail
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 5949, Идентификатор BugTraq 5763.
В каталоге Mitre CVE: CVE-2002-1131, CVE-2002-1132, CVE-2002-1276. - Более подробная информация:
-
В squirrelmail, полнофункциональном пакете веб-почты на языке PHP4, было обнаружено несколько уязвимостей, приводящих к межсайтовому скриптингу. Проект Common Vulnerabilities and Exposures (CVE) определяет следующие проблемы:
- CAN-2002-1131: Пользовательские входные данные не всегда очищаются, поэтому на клиентском компьютере возможно выполнение произвольного кода. Это может произойти после открытия специально сформированного URL или при просмотре специально сформированной записи адресной книги.
- CAN-2002-1132: Другая проблема может позволить злоумышленнику при определённых условиях получить чувствительную информацию. При добавлении к ссылке специально сформированного аргумента создаётся страница с сообщением об ошибке, содержащая абсолютный путь сценария. Тем не менее, эта информация всё равно доступна через файл Contents дистрибутива.
Эти проблемы были исправлены в версии 1.2.6-1.1 для текущего стабильного выпуска (woody) и в версии 1.2.8-1.1 для нестабильного выпуска (sid). Предыдущий стабильный выпуск (potato) не подвержен этим проблемам, поскольку в нём отсутствует пакет squirrelmail.
Рекомендуется обновить пакет squirrelmail.
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.