Информация по безопасности / 2011 / Информация о безопасности -- DSA-2291-1 squirrelmail

Рекомендация Debian по безопасности

DSA-2291-1 squirrelmail -- различные уязвимости

Дата сообщения:

08.08.2011

Затронутые пакеты:

squirrelmail

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2010-4554, CVE-2010-4555, CVE-2011-2023, CVE-2011-2752, CVE-2011-2753.

Более подробная информация:

В SquirrelMail, веб-почте, были обнаружены различные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие уязвимости:

• CVE-2010-4554

  SquirrelMail не предотвращает отрисовку страницы во HTML-фрейме третьей стороны, что с помощью специально сформированного веб-сайта облегчает удалённым злоумышленникам выполнение кликджекинга.

• CVE-2010-4555, CVE-2011-2752, CVE-2011-2753

  Многочисленные небольшие ошибки в SquirrelMail позволяют злоумышленнику вводить вредоносный сценарий в различные страницы или изменять содержимое пользовательских настроек.

• CVE-2011-2023

  Можно вводить произвольный веб-сценарий или код HTML с помощью специально сформированного элемента STYLE в HTML коде сообщений электронной почты.

В предыдущем стабильном выпуске (lenny) эти проблемы были исправлены в версии 1.4.15-4+lenny5.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.4.21-2.

В тестируемом (wheezy) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 1.4.22-1.

Рекомендуется обновить пакеты squirrelmail.