Mehrere Verwundbarkeiten wurden in Squirrelmail, einem weithin verwendeten
Webmail-System entdeckt. Das Common Vulnerabilities and Exposures Project
identifiziert die folgenden Probleme:
Martijn Brinkers und Ben Maurer fanden eine Schwachstelle in webmail.php, die es entfernten Angreifern erlaubt, über eine URL im right-frame-Parameter beliebige Webseiten in den rechten Frame einzufügen.
Martijn Brinkers und Scott Hughes entdeckten einen
Interpretationskonflikt im MagicHTML-Filter, der es entfernten Angreifern
erlaubt, Site-übergreifende (XSS) Angriffe durchzuführen. Diese
erfolgen über Style-Sheet-Angaben (1) mit ungültigen /*
- und
*/
-Kommentaren oder (2) mit Schrägstrichen (slashes
) im
Schlüsselwort url
, die von einigen Webbrowsern, u.a. dem Internet
Explorer, verarbeitet werden.
Vicente Aguilera von Internet Security Auditors, S.L. entdeckte
eine Verwundbarkeit per CRLF-Einfügung, die es entfernten Angreifern
erlaubt, über Newline-Zeichen im Parameter mailbox
des Befehls
sqimap_mailbox_select
beliebige IMAP-Befehle einzufügen, auch bekannt
als IMAP injection
. Es ist bislang nicht bekannt, wie dies ausgenutzt
werden kann.
Für die alte Stable-Distribution (Woody) wurden diese Probleme in Version 1.2.6-5 behoben.
Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 2:1.4.4-8 behoben.
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 2:1.4.6-1 behoben.
Wir empfehlen Ihnen, Ihr Squirrelmail-Paket zu aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.