Säkerhetsbulletin från Debian

DSA-191-1 squirrelmail -- serveröverskridande skriptproblem

Rapporterat den:

2002-11-07

Berörda paket:

Sårbara:

Referenser i säkerhetsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5949, BugTraq-id 5763.
I Mitres CVE-förteckning: CVE-2002-1131, CVE-2002-1132, CVE-2002-1276.

Ytterligare information:

Flera serveröverskridande skriptsårbarheter har upptäckts i squirrelmail, ett funktionsrik webb-e-postpaket skrivet i PHP4. Projektet Common Vulnerabilities and Exposures (CVE) har identifierat följande sårbarheter:

CAN-2002-1131: Användarindata tvättas inte alltid, vilket gör det möjligt att exekvera godtycklig kod på en klientdator. Detta kan inträffa efter att man följt en illvillig URL eller visat en illvillig adressbokspost.
CAN-2002-1132: Ett ytterligare problem gör det möjligt för en angripare att få tillgång till känslig information under vissa förutsättningar. När en trasig parameter läggs till en länk genereras en felsida som visar den absoluta sökvägen för skriptet. Denna information är dock oavsett tillgänglig via Contents-filen i distributionen.

Dessa problem har rättats i version 1.2.6-1.1 för den nuvarande stabila utgåvan (Woody) samt i version 1.2.8-1.1 för den instabila utgåvan (Sid). Den gamla stabila utgåvan (Potato) påverkas inte eftersom den inte innehåller något squirrelmail-paket.

Vi rekommenderar att ni uppgraderar ert squirrelmail-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.dsc; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2.diff.gz; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.2_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.