Säkerhetsbulletin från Debian

DSA-220-1 squirrelmail -- serveröverskridande skriptproblem

Rapporterat den:

2003-01-02

Berörda paket:

squirrelmail

Sårbara:

Referenser i säkerhetsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 6302.
I Mitres CVE-förteckning: CVE-2002-1341.

Ytterligare information:

En serveröverskridande skriptsårbarhet har upptäckts i squirrelmail, ett funktionsrik webbe-postpaket skrivet i PHP4. Squirrelmail städar inte variabler tillhandahållna av användaren överallt, vilket gör det sårbart för ett serveröverskridande skriptangrepp.

För den nuvarande stabila utgåvan (Woody) har detta problem rättats i version 1.2.6-1.3. Den gamla stabila utgåvan (Potato) påverkas inte eftersom det inte innehåller något squirrelmail-paket.

Ett uppdaterat paket för den instabila utgåvan (Sid) förväntas inom kort.

Vi rekommenderar att ni uppgraderar ert squirrelmail-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.dsc; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3.diff.gz; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-1.3_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.