Säkerhetsbulletin från Debian

DSA-662-2 squirrelmail -- flera sårbarheter

Rapporterat den:

2005-03-14

Berörda paket:

squirrelmail

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 292714, Fel 295836.
I Mitres CVE-förteckning: CVE-2005-0104, CVE-2005-0152.

Ytterligare information:

Andrew Archibald upptäckte att föregående uppdatering av squirrelmail, som var tänkt att rätta flera problem, orsakade ett annat fel som var synligt när användarens inloggning når tidsgränsen. Texten från originalbulletinen följer nedan:

Flera sårbarheter har upptäckts i Squirrelmail, ett ofta använt webbpostsystem. Projektet Common Vulnerabilities and Exposures project identifierar följande problem:

CAN-2005-0104
Uppströmsutvecklarna upptäckte att en variabel inte städades, vilket kunde utnyttjas till ett serveröverskridande skriptangrepp.
CAN-2005-0152
Grant Hollingworth upptäckte att under vissa omständigheter kunde URL:er manipuleras så att godtycklig kod exekverades med privilegierna för www-data. Detta problem finns endast i version 1.2.6 av Squirrelmail.

För den stabila utgåvan (Woody) har dessa problem rättats i version 1.2.6-3.

För den instabila utgåvan (Sid) har det problem som berör den versionen rättats i version 1.4.4-1.

Vi rekommenderar att ni uppgraderar ert squirrelmail-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.dsc; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3.diff.gz; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-3_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.

MD5-kontrollsummor för dessa filer finns i reviderade bulletinen.