Debians sikkerhedsbulletin
DSA-535-1 squirrelmail -- flere sårbarheder
- Rapporteret den:
- 2. aug 2004
- Berørte pakker:
- squirrelmail
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 10246, BugTraq-id 10439.
I Mitres CVE-ordbog: CVE-2004-0519, CVE-2004-0520, CVE-2004-0521, CVE-2004-0639. - Yderligere oplysninger:
-
Fire sårbarheder er blevet i squirrelmail:
- CAN-2004-0519
Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (XSS) i SquirrelMail 1.4.2 gør det muligt for fjernangribere at udføre et vilkårligt skript som andre brugere og muligvis stjæle autentifikationsoplysninger via flere forskellige angrebsmetoder, blandt andre mailbox-parameteret i compose.php.
- CAN-2004-0520
Sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (XSS) i mime.php i SquirrelMail før version 1.4.3 gør det muligt for fjernangribere at indsætte vilkårlig HTML-kode og skripter via mailheaderen content-type, som demonstreret ved hjælp af read_body.php.
- CAN-2004-0521
SQL-indsprøjtningssårbarhed i SquirrelMail før version 1.4.3 RC1 gør det muligt for fjernangribere at udføre uautoriserede SQL-kommandoer, med ukendte følgevirkninger, muligvis via abook_database.php.
- CAN-2004-0639
Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (XSS) i Squirrelmail 1.2.10 og tidligere gør det muligt for fjernangribere at indsprøjte vilkårlig HTML-kode eller skripter via (1) variablen $mailer i read_body.php, (2) variablen $senderNames_part i mailbox_display.php og muligvis andre angrebsmetoder, blandt andre (3) variablen $event_title eller (4) variablen $event_text.
I den nuværende stabile distribution (woody), er disse problemer rettet i version 1:1.2.6-1.4.
I den ustabile distribution (sid), er disse problemer rettet i 2:1.4.3a-0.1 og tidligere versioner.
Vi anbefaler at du opdaterer din squirrelmail-pakke.
- CAN-2004-0519
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.4.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.4.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.4.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.4_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.