Bulletin d'alerte Debian
DSA-662-2 squirrelmail -- Plusieurs vulnérabilités
- Date du rapport :
- 14 mars 2005
- Paquets concernés :
- squirrelmail
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 292714, Bogue 295836.
Dans le dictionnaire CVE du Mitre : CVE-2005-0104, CVE-2005-0152. - Plus de précisions :
-
Andrew Archibald a découvert que la dernière mise à jour de squirrelmail devant corriger plusieurs problèmes, introduisait une faiblesse qui pouvait être exploitée lorsque l'utilisateur voyait sa session expirer. Voici l'intégralité du bulletin officiel :
Plusieurs vulnérabilités ont été découvertes dans Squirrelmail, une interface web pour le courrier électronique, couramment utilisée. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :
- CAN-2005-0104
Les développeurs amont ont remarqué qu'une variable non sécurisée permettait les attaques de script sur les éléments dynamiques.
- CAN-2005-0152
Grant Hollingworth a découvert que la manipulation dans certaines circonstances de liens permettait l'exécution de code arbitraire avec les droits de www-data. Ce problème n'est présent que dans la version 1.2.6 de Squirrelmail.
Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.2.6-3.
Pour la distribution instable (Sid), le problème a été corrigé dans la version 1.4.4-1.
Nous vous recommandons de mettre à jour votre paquet squirrelmail.
- CAN-2005-0104
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.
Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.