Säkerhetsbulletin från Debian
DSA-1802-2 squirrelmail -- flera sårbarheter
- Rapporterat den:
- 2009-05-21
- Berörda paket:
- squirrelmail
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 528528.
I Mitres CVE-förteckning: CVE-2009-1578, CVE-2009-1579, CVE-2009-1580, CVE-2009-1581, CVE-2009-1381. - Ytterligare information:
-
Flera utifrån nåbara sårbarheter har upptäckts i SquirrelMail, en webbmailapplikation. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2009-1578
Serveröverskridande skriptangrepp var möjliga via ett antal sidor, vilket tillät en angripare att stjäla känslig sessionsdata.
- CVE-2009-1579,
CVE-2009-1381
Kodinjicering var möjlig när SquirrelMail var konfigurerad att använda funktionen map_yp_alias för att autentisera användare. Detta är inte standardinställningen.
- CVE-2009-1580
Det var möjligt att kapa en aktiv användarsession genom att plantera en specialskriven kaka i användarens webbläsare.
- CVE-2009-1581
Specialskrivna HTML-brev kunde använda CSS:s funktion för placering av innehåll för att placera brevinnehåll över SquirrelMail:s användargränssnitt, vilket tillät
phishing
.
För den gamla stabila utgåvan (Etch) har dessa problem rättats i version 1.4.9a-5.
För den stabila utgåvan (Lenny) har dessa problem rättats i version 1.4.15-4+lenny2.
För den instabila utgåvan (Sid) har dessa problem rättats i version 1.4.19-1.
Vi rekommenderar att ni uppgraderar ert squirrelmail-paket.
- CVE-2009-1578
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5_all.deb
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.