Debians sikkerhedsbulletin

DSA-662-2 squirrelmail -- flere sårbarheder

Rapporteret den:

14. mar 2005

Berørte pakker:

squirrelmail

Sårbar:

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 292714, Fejl 295836.
I Mitres CVE-ordbog: CVE-2005-0104, CVE-2005-0152.

Yderligere oplysninger:

Andrew Archibald har opdaget at den seneste opdatering af squirrelmail, hvis formål var at rette flere problemer, forårsagede en regression, der blev afsløret, når brugeren oplevede en sessionstimeout. For fuldstændighedens skyld følger teksten fra den oprindelige bulletin herunder:

Flere sårbarheder er opdaget i Squirrelmail, et udbredt webmailsystem. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:

CAN-2005-0104
Opstrømsudviklerne har opdaget at en ukontrolleret variabel kunne føre til en sårbarhed i forbindelse med udførelse af skripter på tværs af servere.

CAN-2005-0152
Grant Hollingworth har opdaget, at under visse omstændigheder kunne URL-manipulering føre til udførelse af vilkårlig kode med www-datas rettigheder. Dette problem findes kun i version 1.2.6 af Squirrelmail.

I den stabile distribution (woody) er disse problemer rettet i version 1.2.6-3.

I den ustabile distribution (sid) er problemet der påvirker unstable rettet i version 1.4.4-1.

Vi anbefaler at du opgraderer din squirrelmail-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.dsc; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.diff.gz; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.

MD5-kontrolsummer for de listede filer findes i den reviderede sikkerhedsbulletin.