Andrew Archibald descubrió que la última actualización de squirrelmail, que pretendía corregir varios problemas, causaba una regresión que implicaba una exposición cuando el usuario llegaba a cumplir el tiempo de una sesión. Para mayor información, se reproduce debajo el texto del aviso original:
Se han descubierto varias vulnerabilidades en Squirrelmail, un sistema de correo web muy utilizado. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
- CAN-2005-0104
Los desarrolladores originales se dieron cuenta de que una variable no controlada podía provocar una vulnerabilidad de guiones a través del sitio.
- CAN-2005-0152
Grant Hollingworth descubrió que, bajo ciertas circunstancias, la manipulación de URLs podía llevar a la ejecución de código arbitrario con los privilegios de www-data. Este problema sólo existe en la versión 1.2.6 de Squirrelmail.
Para la distribución estable (woody), estos problemas se han corregido en la versión 1.2.6-3.
Para la distribución inestable (sid), el problema que la afecta se ha corregido en la versión 1.4.4-1.
Le recomendamos que actualice el paquete squirrelmail.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.