Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2291-1 squirrelmail

Debians sikkerhedsbulletin

DSA-2291-1 squirrelmail -- forskellige sårbarheder

Rapporteret den:

8. aug 2011

Berørte pakker:

squirrelmail

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2010-4554, CVE-2010-4555, CVE-2011-2023, CVE-2011-2752, CVE-2011-2753.

Yderligere oplysninger:

Forskellige sårbarheder blev fundet i SquirrelMail, en webmailapplikation. Projektet Common Vulnerabilities and Exposures har registreret følgende sårbarheder:

• CVE-2010-4554

  SquirrelMail forhindrede ikke siderendering inde i en tredjeparts-HTML-frame, hvilket gjorde det lettere for fjernangribere at udføre clickjacking-angreb via et fabrikeret websted.

• CVE-2010-4555, CVE-2011-2752, CVE-2011-2753

  Flere små fejl i SquirrelMail gjorde det muligt for en angriber at indsprøjte ondsindet skript i forskellige sider eller ændre indholdet af brugerindstillinger.

• CVE-2011-2023

  Det var muligt at indsprøjte vilkårligt webskript eller HTML via et fabrikeret STYLE-element i en HTML-del af en e-mail.

I den gamle stabile distribution (lenny), er disse problemer rettet i version 1.4.15-4+lenny5.

I den stabile distribution (squeeze), er disse problemer rettet i version 1.4.21-2.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er disse problemer rettet i version 1.4.22-1.

Vi anbefaler at du opgraderer dine squirrelmail-pakker.