Säkerhetsbulletin från Debian
DSA-1241-1 squirrelmail -- serveröverskridande skriptproblem
- Rapporterat den:
- 2006-12-25
- Berörda paket:
- squirrelmail
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2006-6142.
- Ytterligare information:
-
Martijn Brinkers upptäckte serveröverskridande skriptsårbarheter i mailto-parametern i webmail.php, parametrarna session och delete_draft i compose.php och genom en felaktighet i magicHTML-filtret. En angripare kunde använda dessa till exekvera skadlig JavaScript i användares webbpostsession.
Dessutom förbigicks ett problem med Internet Explorer <= 5: IE försöker gissa vilken MIME-typ en bilaga har baserat på innehållet, inte MIME-huvudet som sänds. Bilagor kunde fejka att vara en ”harmlös” JPEG medan de faktiskt sändes som HTML som Internet Explorer kom att visa.
För den stabila utgåvan (Sarge) har dessa problem rättats i version 2:1.4.4-10.
För den kommande stabila utgåvan (Etch) har dessa problem rättats i version 2:1.4.9a-1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2:1.4.9a-1.
Vi rekommenderar att ni uppgraderar ert squirrelmail-paket.
- Rättat i:
-
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-10.dsc
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-10.diff.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-10.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-10_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.