Debians sikkerhedsbulletin
DSA-2091-1 squirrelmail -- intet brugerspecifikt token implementeret
- Rapporteret den:
- 12. aug 2010
- Berørte pakker:
- squirrelmail
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 543818.
I Mitres CVE-ordbog: CVE-2009-2964, CVE-2010-2813. - Yderligere oplysninger:
-
SquirrelMail, en webmailapplikation, ikke anvender et brugerspecifikt token i webformularer. Dermed kunne en fjernangriber udføre et forespørgselsforfalskningsangreb (CSRF). Angriberen kunne måske, blandt andet kapre autentificeringen af ikke-angivne ofre og sende meddelelser eller ændre brugeropsætningen, ved at narre offeret til at følge et link kontrolleret af gerningsmanden.
Desuden er et lammelsesangreb (denial of service) blevet rettet, hvilket kunne udløses når en adgangskode indeholdende 8-bit-tegn, blev anvendt til at logge på (CVE-2010-2813).
I den stabile distribution (lenny), er disse problemer rettet i version 1.4.15-4+lenny3.1.
I distributionen testing (squeeze) og i den ustabile distribution (sid), er disse problemer rettet i version 1.4.21-1.
Vi anbefaler at du opgraderer dine squirrelmail-pakker.
- Rettet i:
-
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15.orig.tar.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.