Рекомендация Debian по безопасности
DSA-2091-1 squirrelmail -- не реализован ни один пользовательский токен
- Дата сообщения:
- 12.08.2010
- Затронутые пакеты:
- squirrelmail
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 543818.
В каталоге Mitre CVE: CVE-2009-2964, CVE-2010-2813. - Более подробная информация:
-
SquirrelMail, приложения для веб-доступа к почте, не использует в веб-формах пользовательские токены. Это позволяет удалённому злоумышленнику выполнять подделку межсайтовых запросов (CSRF). Злоумышленник может перехватить аутентификацию жертвы и отправить сообщения, либо изменить пользовательские настройки, а также выполнить ряд других действий в случае, если жертва откроет ссылку, контролируемую злоумышленником.
Кроме того, был исправлен отказ в обслуживании, который возникает в случаях использования пароля, содержащего 8-битные символы (CVE-2010-2813).
В стабильном выпуске (lenny) эти проблемы были исправлены в версии 1.4.15-4+lenny3.1.
В тестируемом (squeeze) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 1.4.21-1.
Рекомендуется обновить пакеты squirrelmail.
- Исправлено в:
-
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15.orig.tar.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.