Рекомендация Debian по безопасности
DSA-988-1 squirrelmail -- несколько уязвимостей
- Дата сообщения:
- 08.03.2006
- Затронутые пакеты:
- squirrelmail
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 354062, Ошибка 354063, Ошибка 354064, Ошибка 355424.
В каталоге Mitre CVE: CVE-2006-0377, CVE-2006-0195, CVE-2006-0188. - Более подробная информация:
-
В Squirrelmail, широко используемой системе веб-почты, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2006-0188
Мартийн Бринкерс и Бен Маурер обнаружили уязвимость в webmail.php, которая позволяет удалённым злоумышленникам вводить произвольные веб-страницы в правый фрейм с помощью URL в параметре right_frame.
- CVE-2006-0195
Мартийн Бринкерс и Скотт Хью обнаружили конфликт интерпретаций в фильтре MagicHTML, который позволяет удалённым злоумышленникам вызывать межсайтовый скриптинг (XSS) с помощью спецификаторов стилей с некорректными (1) комментариями "/*" и "*/", либо (2) косыми чертами внутри ключевого слова "url", которые обрабатываются некоторыми веб-браузерами, включая Internet Explorer.
- CVE-2006-0377
Винсент Агилера из Internet Security Auditors, S.L. обнаружил CRLF-инъекцию, позволяющую удалённым злоумышленникам вводить произвольный команды IMAP с помощью символов новой строки в параметре mailbox команды sqimap_mailbox_select, что также известно как "IMAP-инъекция". Пока способ использования этой уязвимости неизвестен.
В предыдущем стабильном выпуске (woody) эти проблемы были исправлены в версии 1.2.6-5.
В стабильном выпуске (sarge) эти проблемы были исправлены в версии 2:1.4.4-8.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2:1.4.6-1.
Рекомендуется обновить пакет squirrelmail.
- CVE-2006-0188
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-5.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-5.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-5.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-5_all.deb
Debian GNU/Linux 3.1 (sarge)
- Исходный код:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-8.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-8.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-8.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-8_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.