Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2291-1 squirrelmail

Bulletin d'alerte Debian

DSA-2291-1 squirrelmail -- Plusieurs vulnérabilités

Date du rapport :

8 août 2011

Paquets concernés :

squirrelmail

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2010-4554, CVE-2010-4555, CVE-2011-2023, CVE-2011-2752, CVE-2011-2753.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans SquirrelMail, une application de messagerie électronique par le web. Le projet Common Vulnerabilities and Exposures identifie les vulnérabilités suivantes :

• CVE-2010-4554

  SquirrelMail n'empêchait pas le rendu de page à l'intérieur d'un cadre HTML tiers, ce qui facilite la confection d'attaques par détournement de clic aux attaquants distants à l'aide d'un site web contrefait.

• CVE-2010-4555, CVE-2011-2752, CVE-2011-2753

  Plusieurs petits bogues dans SquirrelMail permettaient à un attaquant d'injecter un script malveillant dans diverses pages ou d'altérer le contenu des préférences utilisateur.

• CVE-2011-2023

  L'injection de script web arbitraire ou d'HTML à l'aide d'un élément STYLE contrefait dans un morceau de message électronique était possible.

Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 1.4.15-4+lenny5.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 1.4.21-2.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.4.22-1.

Nous vous recommandons de mettre à jour vos paquets squirrelmail.