Рекомендация Debian по безопасности

DSA-756-1 squirrelmail -- несколько уязвимостей

Дата сообщения:
13.07.2005
Затронутые пакеты:
squirrelmail
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 314374, Ошибка 317094.
В каталоге Mitre CVE: CVE-2005-1769, CVE-2005-2095.
Более подробная информация:

В Squirrelmail, широко используемой системе веб-почты, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CAN-2005-1769

    Мартийн Бринкерс обнаружил межсайтовый скриптинг, позволяющий удалённым злоумышленникам вводить произвольный веб-сценарий или код HTML в URL и сообщения электронной почты.

  • CAN-2005-2095

    Джеймс Берсегай из GulfTech Security обнаружил уязвимость в коде обработки переменной, которая может приводить к тому, что злоумышленники смогут изменить настройки других пользователей, а также считать их, записывать файлы в любое место, открытое для записи пользователю www-data, и выполнять атаки по межсайтовому скриптингу.

В предыдущем стабильном выпуске (woody) эти проблемы были исправлены в версии 1.2.6-4.

В стабильном выпуске (sarge) эти проблемы были исправлены в версии 1.4.4-6sarge1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.4.4-6sarge1.

Рекомендуется обновить пакет squirrelmail.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4.dsc
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4_all.deb

Debian GNU/Linux 3.1 (sarge)

Исходный код:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1.dsc
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.