Debian-Sicherheitsankündigung
DSA-662-2 squirrelmail -- Mehrere Verwundbarkeiten
- Datum des Berichts:
- 14. Mär 2005
- Betroffene Pakete:
- squirrelmail
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 292714, Fehler 295836.
In Mitres CVE-Verzeichnis: CVE-2005-0104, CVE-2005-0152. - Weitere Informationen:
-
Andrew Archibald entdeckte, dass die letzte Aktualisierung für Squirrelmail, die mehrere Probleme beheben sollte, einen Rückschritt enthält. Dieser tritt dann zu Tage, wenn der Benutzer bei einer Session eine Zeitüberschreitung erreicht. Der Vollständigkeit halber ist unten der Text der ursprünglichen Ankündigung wiedergegeben:
In Squirrelmail, einem häufig verwendeten webbasierten Mailsystem, wurden mehrere Verwundbarkeiten entdeckt. Das
Common Vulnerabilities and Exposures project
identifiziert die folgenden Probleme:- CAN-2005-0104
Die ursprünglichen Entwickler bemerkten, dass eine nicht entschärfte Variable zu Site-übergreifendem Skripting führen kann.
- CAN-2005-0152
Grant Hollingworth entdeckte, dass unter bestimmten Umständen die Manipulation einer URL die Ausführung von beliebigem Code mit den Rechten des Benutzers www-data zur Folge haben kann. Dieses Problem ist nur in Version 1.2.6 von Squirrelmail vorhanden.
Für die Stable-Distribution (Woody) wurden diese Probleme in Version 1.2.6-3 behoben.
Für die Unstable-Distribution (Sid) wurde das Problem, das Unstable betrifft, in Version 1.4.4-1 behoben.
Wir empfehlen Ihnen, Ihr squirrelmail-Paket zu aktualisieren.
- CAN-2005-0104
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.
MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.