Säkerhetsbulletin från Debian
DSA-988-1 squirrelmail -- flera sårbarheter
- Rapporterat den:
- 2006-03-08
- Berörda paket:
- squirrelmail
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 354062, Fel 354063, Fel 354064, Fel 355424.
I Mitres CVE-förteckning: CVE-2006-0377, CVE-2006-0195, CVE-2006-0188. - Ytterligare information:
-
Flera sårbarheter har upptäckte i Squirrelmail, ett ofta använt webbpostsystem. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2006-0188
Martijn Brinkers och Ben Maurer upptäckte ett fel i webmail.php, vilket gjorde det möjligt för angripare utifrån att sätta in godtyckliga webbsidor i den högra ramen via en URL i right_frame-parametern.
- CVE-2006-0195
Martijn Brinkers och Scott Hughes upptäckte en tolkningskonflikt i MagicHTML-filtret, vilket gjorde det möjligt för angripare utifrån att utföra serveröverskridande skriptangrepp (XSS) via stilmallsspecifikationer med ogiltiga (1) ”/*”- och ”*/”-kommentarer, eller (2) snedstreck i ”url”-nyckelordet, vilket tolkas av vissa webbläsare, däribland Internet Explorer.
- CVE-2006-0377
Vicente Aguilera från Internet Security Auditors, S.L. upptäckte en CRLF-injiceringssårbarhet, vilket gör det möjligt för angripare utifrån att injicera godtyckliga IMAP-kommandon via nyradstecken i mailbox-parametern i kommandot sqimap_mailbox_select, även känt som ”IMAP-injicering”. Det finns ännu inget känt sätt att utnyttja detta.
För den gamla stabila utgåvan (Woody) har dessa problem rättats i version 1.2.6-5.
För den stabila utgåvan (Sarge) har dessa problem rättats i version 2:1.4.4-8.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2:1.4.6-1.
Vi rekommenderar att ni uppgraderar ert squirrelmail-paket.
- CVE-2006-0188
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-5.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-5.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-5.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-5_all.deb
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-8.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-8.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-8.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-8_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.