Debian-Sicherheitsankündigung
DSA-1154-1 squirrelmail -- Überschreibung von Variablen
- Datum des Berichts:
- 20. Aug 2006
- Betroffene Pakete:
- squirrelmail
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2006-4019.
- Weitere Informationen:
-
James Bercegay von GulfTech Security Research entdeckte eine Verwundbarkeit in SquirrelMail, durch die ein authentifizierter Benutzer beliebige Variablen im Skript compose überschreiben kann. Dies könnte ausgenutzt werden, um die Einstellungen oder Anhänge anderer Benutzer auszulesen oder zu überschreiben.
Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 1.4.4-9 behoben.
Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 1.4.8-1 behoben.
Wir empfehlen Ihnen, Ihr squirrelmail-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.1 (sarge)
- Quellcode:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-9.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-9.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-9.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-9_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.