Säkerhetsbulletin från Debian
DSA-2091-1 squirrelmail -- ingen användarspecifik information finns implementerad
- Rapporterat den:
- 2010-08-12
- Berörda paket:
- squirrelmail
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 543818.
I Mitres CVE-förteckning: CVE-2009-2964, CVE-2010-2813. - Ytterligare information:
-
SquirrelMail, en epostapplikation för webben, använder inte användarspecifik information i webbformulär. Detta tillåter en angripare utifrån att utföra en serveröverskridande förfalskningsattack. Angriparen kan bland annat kapa autentiseringen av slumpmässiga offer och skicka meddelanden eller ändra användarinställningar genom att lura offren att följa en länk som kontrolleras av förövaren.
Dessutom rättades en överbelastningssårbarhet, som kunde startas när ett lösenord innehållandes åttabitarstecken användas för att logga in (CVE-2010-2813).
För den stabila utgåvan (Lenny) har dessa problem rättats i version 1.4.15-4+lenny3.1.
För uttestningsutgåvan (Squeeze) och den instabila utgåvan (Sid) har dessa problem rättats i version 1.4.21-1.
Vi rekommenderar att ni uppgraderar era squirrelmail-paket.
- Rättat i:
-
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15.orig.tar.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.