Рекомендация Debian по безопасности

DSA-2091-1 squirrelmail -- не реализован ни один пользовательский токен

Дата сообщения:
12.08.2010
Затронутые пакеты:
squirrelmail
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 543818.
В каталоге Mitre CVE: CVE-2009-2964, CVE-2010-2813.
Более подробная информация:

SquirrelMail, приложения для веб-доступа к почте, не использует в веб-форма пользовательские токены. Это позволяет удалённому злоумышленнику выполнять подделку межсайтовых запросов (CSRF). Злоумышленник может перехватить аутентификацию жертвы и отправить сообщения, либо изменить пользовательские настройки, а также выполнить ряд других действий в случае, если жертва откроет ссылку, контролируемую злоумышленником.

Кроме того, был исправлен отказ в обслуживании, который возникает в случая использования пароля, содержащего 8-битные символы (CVE-2010-2813).

В стабильном выпуске (lenny) эти проблемы были исправлены в версии 1.4.15-4+lenny3.1.

В тестируемом (squeeze) и нестабильном (sid) выпуска эти проблемы были исправлены в версии 1.4.21-1.

Рекомендуется обновить пакеты squirrelmail.

Исправлено в:

Debian GNU/Linux 5.0 (lenny)

Исходный код:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1.diff.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15.orig.tar.gz
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1.dsc
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.