Säkerhetsbulletin från Debian

DSA-1802-2 squirrelmail -- flera sårbarheter

Rapporterat den:
2009-05-21
Berörda paket:
squirrelmail
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 528528.
I Mitres CVE-förteckning: CVE-2009-1578, CVE-2009-1579, CVE-2009-1580, CVE-2009-1581, CVE-2009-1381.
Ytterligare information:

Flera utifrån nåbara sårbarheter har upptäckts i SquirrelMail, en webbmailapplikation. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2009-1578

    Serveröverskridande skriptangrepp var möjliga via ett antal sidor, vilket tillät en angripare att stjäla känslig sessionsdata.

  • CVE-2009-1579, CVE-2009-1381

    Kodinjicering var möjlig när SquirrelMail var konfigurerad att använda funktionen map_yp_alias för att autentisera användare. Detta är inte standardinställningen.

  • CVE-2009-1580

    Det var möjligt att kapa en aktiv användarsession genom att plantera en specialskriven kaka i användarens webbläsare.

  • CVE-2009-1581

    Specialskrivna HTML-brev kunde använda CSS:s funktion för placering av innehåll för att placera brevinnehåll över SquirrelMail:s användargränssnitt, vilket tillät phishing.

För den gamla stabila utgåvan (Etch) har dessa problem rättats i version 1.4.9a-5.

För den stabila utgåvan (Lenny) har dessa problem rättats i version 1.4.15-4+lenny2.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.4.19-1.

Vi rekommenderar att ni uppgraderar ert squirrelmail-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5.dsc
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.9a-5_all.deb

Debian GNU/Linux 5.0 (lenny)

Källkod:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15.orig.tar.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2.dsc
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny2_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.