Рекомендация Debian по безопасности

DSA-220-1 squirrelmail -- перекрёстные между сайтами скрипты

Дата сообщения:

02.01.2003

Затронутые пакеты:

squirrelmail

Уязвим:

Да

Ссылки на базы данных по безопасности:

В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 6302.
В каталоге Mitre CVE: CVE-2002-1341.

Более подробная информация:

Было сообщено об уязвимости, позволяющей писать скрипты, перекрёстные между сайтами, в squirrelmail, пакете web-почты с широкими возможностями, написанном на PHP4. Squirrelmail не всегда чистит переменные, предоставленные пользователем, что делает его уязвимым к атакам с помощью перекрёстных между сайтами скриптов.

В текущем стабильном дистрибутиве (woody) эта проблема исправлена в версии 1.2.6-1.3. Старый стабильный дистрибутив (potato) не изменён, поскольку он не содержит пакета squirrelmail.

Обновлённый пакет для нестабильного дистрибутива (sid) ожидается в ближайшее время.

Мы рекомендуем вам обновить пакет squirrelmail.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.dsc; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.diff.gz; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Независимые от архитектуры компоненты:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.