Debian セキュリティ勧告
DSA-662-2 squirrelmail -- 複数の脆弱性
- 報告日時:
- 2005-03-14
- 影響を受けるパッケージ:
- squirrelmail
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 292714, バグ 295836.
Mitre の CVE 辞書: CVE-2005-0104, CVE-2005-0152. - 詳細:
-
Andrew Archibald さんは、複数の問題を修正する意図で行われた squirrelmail に対する前回の更新による影響で、 ユーザがセッションタイムアウトに遭遇した際に攻撃を受けるという問題があるのを発見しました。 完全を期すため、以下に元の勧告文を記載します:
広く利用されているウェブメールシステムである Squirrelmail に複数の脆弱性が発見されています。 Common Vulnerabilities and Exposures プロジェクトでは以下の問題を認識しています:
- CAN-2005-0104
開発元のデベロッパーらは、サニタイズされていない変数によって クロスサイトスクリプティング攻撃につながる恐れがあるのを発見しました。
- CAN-2005-0152
Grant Hollingworth さんは、特定条件下での URL 処理が www-data ユーザの権限で任意のコードの実行を招く可能性があるのを発見しました。 この問題は、Squirrelmail バージョン 1.2.6 のみに存在しています。
安定版ディストリビューション (stable、コードネーム woody) では、これらの問題はバージョン 1.2.6-3 で修正されています。
不安定版ディストリビューション (unstable、コードネーム sid) では、不安定版に影響する問題はバージョン 1.4.4-1 で修正されています。
squirrelmail パッケージのアップグレードをお勧めします。
- CAN-2005-0104
- 修正:
-
Debian GNU/Linux 3.0 (woody)
- ソース:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。
一覧にあるファイルの MD5 チェックサムは勧告の原文 (改訂版) にあります。