Säkerhetsbulletin från Debian
DSA-1010-1 ilohamail -- städar inte indata
- Rapporterat den:
- 2006-03-20
- Berörda paket:
- ilohamail
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 304525.
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 13175.
I Mitres CVE-förteckning: CVE-2005-1120. - Ytterligare information:
-
Ulf Härnhammar från Debians säkerhetsgranskningsprojekt upptäckte att ilohamail, en lättviktig flerspråkig webbaserad IMAP-/POP3-klient, inte alltid städar indata från användare, vilket gör det möjligt för angripare utifrån att injicera godtyckliga webbskript eller HTML.
Den gamla stabila utgåvan (Woody) innehåller inte paketet ilohamail.
För den stabila utgåvan (Sarge) har dessa problem rättats i version 0.8.14-0rc3sarge1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 0.8.14-0rc3sarge1.
Vi rekommenderar att ni uppgraderar ert ilohamail-paket.
- Rättat i:
-
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14-0rc3sarge1.dsc
- http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14-0rc3sarge1.diff.gz
- http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14-0rc3sarge1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/i/ilohamail/ilohamail_0.8.14-0rc3sarge1_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.