Flere sårbarheder er opdaget i Squirrelmail, et udbredt webmailsystem. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
Martijn Brinkers og Ben Maurer har fundet en fejl i webmail.php, der tillod fjernangribere at indsprøjte vilkårlige websider i den højre frame via en URL i parameteret right_frame.
Martijn Brinkers og Scott Hughes har opdaget en forolkningskonflikt i MagicHTML-filteret, der tillod fjernangribere at foretage angreb i forbindelse med udførelse af skripter på tværs af websteder (cross-site scripting, XSS) via style sheet-specifikationer med ugyldige (1) "/*" og "*/" kommentarer, eller (2) skråstreger i "url"-nøgleord, der behandles af nogle webbrowsere, deriblandt Internet Explorer.
Vicente Aguilera fra Internet Security Auditors, S.L. har opdaget en CRLF-indsprøjtningssårbarhed, hvilket tillod fjernangribere at indsprøjte vilkårlige IMAP-kommandoer via nylinje-tegn i mailbox-parameteret i kommandoen sqimap_mailbox_select command, alias "IMAP injection." Der er endnu ingen kendt måde at udnytte denne sårbarhed på.
I den gamle stabile distribution (woody) er disse problemer rettet i version 1.2.6-5.
I den stabile distribution (sarge) er disse problemer rettet i version 2:1.4.4-8.
I den ustabile distribution (sid) er disse problemer rettet i version 2:1.4.6-1.
Vi anbefaler at du opgraderer din squirrelmail-pakke.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.