Alerta de Segurança Debian
DSA-988-1 squirrelmail -- várias vulnerabilidades
- Data do Alerta:
- 08 Mar 2006
- Pacotes Afetados:
- squirrelmail
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- No sistema de acompanhamento de bugs do Debian: Bug 354062, Bug 354063, Bug 354064, Bug 355424.
No dicionário CVE do Mitre: CVE-2006-0377, CVE-2006-0195, CVE-2006-0188. - Informações adicionais:
-
Várias vulnerabilidades foram descobertas no Squirrelmail, um sistema de webmail muito utilizado. O [1]projeto Common Vulnerabilities and Exposures identificou os seguintes problemas:
- CVE-2006-0188
Martijn Brinkers e Ben Maurer encontraram uma falha no webmail.php que permite que atacantes remotos injetem páginas web dentro do frame direito através de uma URL no parâmetro right_frame.
- CVE-2006-0195
Martijn Brinkers e Scott Hughes descobriram um conflito de interpretação no filtro MagicHTML que permite que atacantes remotos conduzam ataques "cross-site scripting" (XSS) através de especificadores de folhas de estilo com comentários (1) "/*" e "*/" inválidos, ou (2) barras dentro da palavra chave "url", que são processadas por alguns navegadores web incluindo o Internet Explorer.
- CVE-2006-0377
Vicente Aguilera do Internet Security Auditors, S.L. descobriu uma vulnerabilidade de injeção CRLF, que permite que atacantes remotos injetem comandos SMTP arbitrários através de caracteres de nova linha no parâmetro mailbox do comando sqimap_mailbox_select, conhecido como "IMAP injection." Entretanto não existe meio conhecido de explorar isso.
Para a antiga distribuição estável ("woody") estes problemas foram corrigidos na versão 1.2.6-5.
Para a distribuição estável ("sarge") estes problemas foram corrigidos na versão 2:1.4.4-8.
Para a distribuição instável ("sid") estes problemas foram corrigidos na versão 2:1.4.6-1.
Recomendamos que você atualize seu pacote squirrelmail.
- CVE-2006-0188
- Corrigido em:
-
Debian GNU/Linux 3.0 (woody)
- Fonte:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-5.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-5.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-5.diff.gz
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-5_all.deb
Debian GNU/Linux 3.1 (sarge)
- Fonte:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-8.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-8.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-8.diff.gz
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-8_all.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.