Flera sårbarheter har upptäckte i Squirrelmail, ett ofta använt webbpostsystem. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
Martijn Brinkers och Ben Maurer upptäckte ett fel i webmail.php, vilket gjorde det möjligt för angripare utifrån att sätta in godtyckliga webbsidor i den högra ramen via en URL i right_frame-parametern.
Martijn Brinkers och Scott Hughes upptäckte en tolkningskonflikt i MagicHTML-filtret, vilket gjorde det möjligt för angripare utifrån att utföra serveröverskridande skriptangrepp (XSS) via stilmallsspecifikationer med ogiltiga (1) ”/*”- och ”*/”-kommentarer, eller (2) snedstreck i ”url”-nyckelordet, vilket tolkas av vissa webbläsare, däribland Internet Explorer.
Vicente Aguilera från Internet Security Auditors, S.L. upptäckte en CRLF-injiceringssårbarhet, vilket gör det möjligt för angripare utifrån att injicera godtyckliga IMAP-kommandon via nyradstecken i mailbox-parametern i kommandot sqimap_mailbox_select, även känt som ”IMAP-injicering”. Det finns ännu inget känt sätt att utnyttja detta.
För den gamla stabila utgåvan (Woody) har dessa problem rättats i version 1.2.6-5.
För den stabila utgåvan (Sarge) har dessa problem rättats i version 2:1.4.4-8.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2:1.4.6-1.
Vi rekommenderar att ni uppgraderar ert squirrelmail-paket.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.