Alerta de Segurança Debian

DSA-662-2 squirrelmail -- várias vulnerabilidades

Data do Alerta:
14 Mar 2005
Pacotes Afetados:
squirrelmail
Vulnerável:
Sim
Referência à base de dados de segurança:
No sistema de acompanhamento de bugs do Debian: Bug 292714, Bug 295836.
No dicionário CVE do Mitre: CVE-2005-0104, CVE-2005-0152.
Informações adicionais:

Andrew Archibald descobriu que a última atualização do squirrelmail que deveria corrigir vários problemas causou uma regreção que aparecia quando o usuário chega ao limite de tempo de uma sessão. O alerta original segue abaixo:

Várias vulnerabilidades foram descobertas no Squirrelmail, um sistema de webmail muito usado. O Common Vulnerabilities and Exposures project identificou os seguintes problemas:

  • CAN-2005-0104

    Os desenvolvedores notaram que uma variável não-sanitizada poderia levar à cross site scripting.

  • CAN-2005-0152

    Grant Hollingworth descobriu que sob dadas circunstâncias a manipulação de URL poderia levar à execução de código arbitrário com os privilégios de www-data. Este problema existe somente na versão 1.2.6 do Squirrelmail.

Na distribuição estável (woody), este problema foi corrigido na versão 1.2.6-3.

Na distribuição instável (sid), o problema que a afeta foi corrigido na versão 1.4.4-1.

Nós recomendamos que você atualize seu pacote squirrelmail.

Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.dsc
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3_all.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.

Checksums MD5 dos arquivos listados estão disponíveis no alerta revisado.