Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2291-1 squirrelmail

Säkerhetsbulletin från Debian

DSA-2291-1 squirrelmail -- flera sårbarheter

Rapporterat den:

2011-08-08

Berörda paket:

squirrelmail

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2010-4554, CVE-2010-4555, CVE-2011-2023, CVE-2011-2752, CVE-2011-2753.

Ytterligare information:

Flera sårbarheter har upptäckts i SquirrelMail, en webmailapplikation. Projektet Common Vulnerabilities and Exposures identifierar följande sårbarheter:

• CVE-2010-4554

  SquirrelMail förhindrade inte sidrendering inuti en tredjeparts HTML-ram, vilket gör det lättare för fjärrangripare att utföra klickkidnappningsangrepp via en skapad webbsida.

• CVE-2010-4555, CVE-2011-2752, CVE-2011-2753

  Flera småfel i SquirrelMail tillät en angripare att injicera illasinnade skript i olika sidor eller ändra på innehållet i användarinställningar.

• CVE-2011-2023

  Det var möjligt att injicera godtyckliga webbskript eller HTML via ett skapat STYLE-element i en HTML-del av ett e-postmeddelande.

För den gamla stabila utgåvan (Lenny) har dessa problem rättats i version 1.4.15-4+lenny5.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 1.4.21-2.

För uttestningsutgåvan (Wheezy) och den instabila distributionen (Sid), har dessa problem rättats i version 1.4.22-1.

Vi rekommenderar att ni uppgraderar era squirrelmail-paket.