Рекомендация Debian по безопасности

DSA-2291-1 squirrelmail -- различные уязвимости

Дата сообщения:
08.08.2011
Затронутые пакеты:
squirrelmail
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2010-4554, CVE-2010-4555, CVE-2011-2023, CVE-2011-2752, CVE-2011-2753.
Более подробная информация:

В SquirrelMail, веб-почте, были обнаружены различные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие уязвимости:

  • CVE-2010-4554

    SquirrelMail не предотвращает отрисовку страницы во HTML-фрейме третьей стороны, что с помощью специально сформированного веб-сайта облегчает удалённым злоумышленникам выполнение кликджекинга.

  • CVE-2010-4555, CVE-2011-2752, CVE-2011-2753

    Многочисленные небольшие ошибки в SquirrelMail позволяют злоумышленнику вводить вредоносный сценарий в различные страницы или изменять содержимое пользовательски настроек.

  • CVE-2011-2023

    Можно вводить произвольный веб-сценарий или код HTML с помощью специально сформированного элемента STYLE в HTML коде сообщений электронной почты.

В предыдущем стабильном выпуске (lenny) эти проблемы были исправлены в версии 1.4.15-4+lenny5.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.4.21-2.

В тестируемом (wheezy) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 1.4.22-1.

Рекомендуется обновить пакеты squirrelmail.