Aviso de seguridad de Debian
DSA-662-2 squirrelmail -- varias vulnerabilidades
- Fecha del informe:
- 14 de mar de 2005
- Paquetes afectados:
- squirrelmail
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el sistema de seguimiento de errores de Debian: error 292714, error 295836.
En el diccionario CVE de Mitre: CVE-2005-0104, CVE-2005-0152. - Información adicional:
-
Andrew Archibald descubrió que la última actualización de squirrelmail, que pretendía corregir varios problemas, causaba una regresión que implicaba una exposición cuando el usuario llegaba a cumplir el tiempo de una sesión. Para mayor información, se reproduce debajo el texto del aviso original:
Se han descubierto varias vulnerabilidades en Squirrelmail, un sistema de correo web muy utilizado. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
- CAN-2005-0104
Los desarrolladores originales se dieron cuenta de que una variable no controlada podía provocar una vulnerabilidad de guiones a través del sitio.
- CAN-2005-0152
Grant Hollingworth descubrió que, bajo ciertas circunstancias, la manipulación de URLs podía llevar a la ejecución de código arbitrario con los privilegios de www-data. Este problema sólo existe en la versión 1.2.6 de Squirrelmail.
Para la distribución estable (woody), estos problemas se han corregido en la versión 1.2.6-3.
Para la distribución inestable (sid), el problema que la afecta se ha corregido en la versión 1.4.4-1.
Le recomendamos que actualice el paquete squirrelmail.
- CAN-2005-0104
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.