Bulletin d'alerte Debian
DSA-1802-2 squirrelmail -- Plusieurs vulnérabilités
- Date du rapport :
- 21 mai 2009
- Paquets concernés :
- squirrelmail
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 528528.
Dans le dictionnaire CVE du Mitre : CVE-2009-1578, CVE-2009-1579, CVE-2009-1580, CVE-2009-1581, CVE-2009-1381. - Plus de précisions :
-
Plusieurs vulnérabilités distantes ont été découvertes dans SquirrelMail, une application de webmail. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2009-1578
Il était possible d'utiliser des scripts intersites dans un certain nombre de pages, ce qui permettait à un attaquant de voler des données de session sensibles.
- CVE-2009-1579,
CVE-2009-1381
Il était possible d'injecter du code quand SquirrelMail était configuré pour utiliser la fonction map_yp_alias pour authentifier les utilisateurs. Cette configuration n'est pas celle par défaut.
- CVE-2009-1580
Il était possible de détourner une session active en plaçant un cookie contrefait pour l'occasion dans le navigateur de l'utilisateur.
- CVE-2009-1581
Des courriels HTML spécialement contrefaits pourraient se servir de la fonctionnalité de placement CSS pour placer le contenu d'un message sur l'interface de SquirrelMail, rendant possible un hameçonnage (« phishing »).
Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.4.9a-5.
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.4.15-4+lenny2.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.4.19-1.
Nous vous recommandons de mettre à jour votre paquet squirrelmail.
- CVE-2009-1578
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5_all.deb
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.