Рекомендация Debian по безопасности
DSA-1802-2 squirrelmail -- несколько уязвимостей
- Дата сообщения:
- 21.05.2009
- Затронутые пакеты:
- squirrelmail
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 528528.
В каталоге Mitre CVE: CVE-2009-1578, CVE-2009-1579, CVE-2009-1580, CVE-2009-1581, CVE-2009-1381. - Более подробная информация:
-
В SquirrelMail, приложении веб-почты, было обнаружено несколько удалённых уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2009-1578
На ряде страниц возможен межсайтовый скриптинг, который позволяет злоумышленнику красть чувствительные данные сессии.
- CVE-2009-1579,
CVE-2009-1381
Если SquirrelMail настроен на использование функции map_yp_alias для аутентификации пользователей, то возможно введение произвольного кода. По умолчанию указанная настройка не используется.
- CVE-2009-1580
Можно перехватить активную сессию пользователя путём размещения специально сформированной куки в его браузере.
- CVE-2009-1581
Специально сформированные сообщения в формате HTML могут использовать позиционирование CSS для размещения содержимого сообщения поверх пользовательского интерфейса SquirrelMail, позволяя выполнять фишинг.
В предыдущем стабильном выпуске (etch) эти проблемы были исправлены в версии 1.4.9a-5.
В стабильном выпуске (lenny) эти проблемы были исправлены в версии 1.4.15-4+lenny2.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.4.19-1.
Рекомендуется обновить пакет squirrelmail.
- CVE-2009-1578
- Исправлено в:
-
Debian GNU/Linux 4.0 (etch)
- Исходный код:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5_all.deb
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.