Рекомендация Debian по безопасности

DSA-662-2 squirrelmail -- несколько уязвимостей

Дата сообщения:

14.03.2005

Затронутые пакеты:

squirrelmail

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 292714, Ошибка 295836.
В каталоге Mitre CVE: CVE-2005-0104, CVE-2005-0152.

Более подробная информация:

Эндрю Арчибальд обнаружил, что последнее обновление squirrelmail, предназначавшееся для исправления нескольких проблем, вызвало регрессию, которая возникает в случае, когда пользователь достигает окончания срока сессии. Для полноты ниже приводится оригинальный текст рекомендации:

В Squirrelmail, широко используемой системе веб-почты, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

CAN-2005-0104
Разработчики основной ветки разработки заметили, что неочищенная переменная может приводить к межсайтовому скриптингу.

CAN-2005-0152
Грант Холлингворт обнаружил, что при определённых условиях оперирование с URL может приводить к выполнению произвольного кода с правами пользователя www-data. Эта проблема присутствует только в версии 1.2.6 пакета Squirrelmail.

В стабильном выпуске (woody) эти проблемы были исправлены в версии 1.2.6-3.

В нестабильном выпуске (sid) проблема, касающаяся нестабильного выпуска, была исправлена в версии 1.4.4-1.

Рекомендуется обновить пакет squirrelmail.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.dsc; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.diff.gz; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Независимые от архитектуры компоненты:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.

Контрольные суммы MD5 этих файлов доступны в пересмотренном сообщении.