Debianin tietoturvatiedote
DSA-220-1 squirrelmail -- ristiinlinkittävä komentosarja
- Ilmoitettu:
- 2. 1.2003
- Vaikutuksen alaiset paketit:
- squirrelmail
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6302.
Mitren CVE-sanakirjassa: CVE-2002-1341. - Lisätietoa:
-
Squirrelmailista, PHP4:llä kirjoitetusta monipuolisesta www-sähköposti-paketista, on löydetty ristiinlinkittävän komentosarjan kautta hyväksikäytettävä haavoittuvuus. Squirrelmail ei siisti käyttäjän määrittelemiä muuttujia kaikkialla, mikä altistaa sen ristiinlinkittävän komentosarjan kautta tapahtuvalle hyökkäykselle.
Ongelma on korjattu nykyisen vakaan jakelun (woody) versiossa 1.2.6-1.3 . Aiempi vakaa jakelu (potato) ei ole altis tälle, sillä se ei sisällä squirrelmail-pakettia.
Korjattu versio epävakaalle jakelulle (sid) ilmestyy piakkoin.
Suosittelemme päivittämään squirrelmail-paketin.
- Korjattu:
-
Debian GNU/Linux 3.0 (woody)
- Lähde:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.diff.gz
- Arkkitehtuuririippumaton komponentti:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3_all.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.