Рекомендация Debian по безопасности

DSA-1010-1 ilohamail -- отсутствие очистки ввода

Дата сообщения:
20.03.2006
Затронутые пакеты:
ilohamail
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 304525.
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 13175.
В каталоге Mitre CVE: CVE-2005-1120.
Более подробная информация:

Ульф Хэрнхаммар из проекта Debian Security Audit обнаружил, что ilohamail, легковесный клиент IMAP/POP3 на основе веб с поддержкой множества языков, не всегда очищает ввод, передаваемый пользователями, что позволяет удалённых злоумышленникам вводить произвольный веб-сценарий или код HTML.

В предыдущем стабильном выпуске (woody) пакет ilohamail отсутствует.

В стабильном выпуске (sarge) эти проблемы были исправлены в версии 0.8.14-0rc3sarge1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 0.8.14-0rc3sarge1.

Рекомендуется обновить пакет ilohamail.

Исправлено в:

Debian GNU/Linux 3.1 (sarge)

Исходный код:
http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14-0rc3sarge1.dsc
http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14-0rc3sarge1.diff.gz
http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14-0rc3sarge1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.