Debian-Sicherheitsankündigung

DSA-1241-1 squirrelmail -- Site-übergreifendes Skripting

Datum des Berichts:

25. Dez 2006

Betroffene Pakete:

squirrelmail

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2006-6142.

Weitere Informationen:

Martijn Brinkers entdeckte Site-übergreifende Skripting-Verwundbarkeiten im Parameter mailto von webmail.php, den Parametern session und delete_draft von compose.php und eine Schwäche im magicHTML-Filter. Ein Angreifer könnte diese missbrauchen, um bösartiges JavaScript in der Webmail-Sitzung des Benutzers auszuführen.

Es wurde auch ein Workaround für den Internet Explorer <= 5 eingebracht: IE wird versuchen, den MIME-Typ von Anhängen basierend auf dem Inhalt zu erraten und nicht den gesendeten MIME-Header verwenden. Anhänge könnten lügen und sich als harmloses JPEG ausgeben, obwohl sie in Wirklichkeit HTML sind, die vom Internet Explorer ausgewertet würden.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 2:1.4.4-10 behoben.

Für die kommende Stable-Distribution (Etch) wurden diese Probleme in Version 2:1.4.9a-1 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 2:1.4.9a-1 behoben.

Wir empfehlen Ihnen, Ihr squirrelmail-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-10.dsc; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-10.diff.gz; http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4.orig.tar.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-10_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.