Debian セキュリティ勧告

DSA-988-1 squirrelmail -- 複数の脆弱性

報告日時:

2006-03-08

影響を受けるパッケージ:

危険性:

あり

参考セキュリティデータベース:

詳細:

複数の欠陥が、広く利用されているウェブメールシステム Squirrelmail に発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

CVE-2006-0188
Martijn Brinkers さんと Ben Maurer さんが webmail.php に欠陥を見つけました。リモートの攻撃者に、right_frame パラメータ中の URL を経由した右側のフレームへの任意のウェブページの差し込みを許します。
CVE-2006-0195
Martijn Brinkers さんと Scott Hughes さんが、MagicHTML フィルタに解釈の衝突を発見しました。「url」キーワード中に、 (1)「/*」と「*/」によるコメント、(2)スラッシュ、が含まれる不正なスタイルシート指示子を経由したクロスサイトスクリプティング (XSS) 攻撃をリモートの攻撃者に許します。インターネットエクスプローラ等、ウェブブラウザによってはこれが解釈されます。
CVE-2006-0377
Internet Security Auditors, S.L. の Vicente Aguilera さんが CRLF インジェクション脆弱性を発見しました。リモートの攻撃者に、sqimap_mailbox_select コマンドの mailbox パラメータ中の改行文字を経由した任意の IMAP コマンドの差し込み「IMAP インジェクション」を許します。既知の悪用方法はまだありません。

旧安定版 (old stable) ディストリビューション (woody) では、この問題はバージョン 1.2.6-5 で修正されています。

安定版 (stable) ディストリビューション (sarge) では、この問題はバージョン 2:1.4.4-8 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2:1.4.6-1 で修正されています。

直ちに squirrelmail パッケージをアップグレードすることを勧めます。

修正:

ソース:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-5.dsc; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-5.diff.gz; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-5_all.deb

ソース:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-8.dsc; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-8.diff.gz; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4.orig.tar.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-8_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。