Miembros de
Boletines de Vulnerabilidades |
Revelación de información sensible en SquirrelMail |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Confidencialidad |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | SquirrelMail 1.4.0 <= 1.4.7 |
Descripción |
|
| Existe una vulnerabilidad en Squirrelmail que podría ser explotada por un usuario autenticado con el fin de visualizar o manipular información sensible de otros usuarios sobreescribiendo sobre ciertas variables aleatorias del script de redacción. | |
Solución |
|
|
Actualización de software Debian Debian Linux 3.1 Source: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-9.dsc http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-9.diff.gz http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4.orig.tar.gz Architecture-independent component: http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-9_all.deb Mandriva Linux Corporate Server 3.0 x86 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/RPMS/squirrelmail-1.4.5-1.4.C30mdk.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/RPMS/squirrelmail-poutils-1.4.5-1.4.C30mdk.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/SRPMS/squirrelmail-1.4.5-1.4.C30mdk.src.rpm X86_64 ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/x86_64/corporate/3.0/RPMS/squirrelmail-1.4.5-1.4.C30mdk.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/x86_64/corporate/3.0/RPMS/squirrelmail-poutils-1.4.5-1.4.C30mdk.noarch.rpm ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/x86_64/corporate/3.0/SRPMS/squirrelmail-1.4.5-1.4.C30mdk.src.rpm Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux Red Hat Linux (squirrelmail) Red Hat Desktop (v. 3) Red Hat Desktop (v. 4) Red Hat Enterprise Linux AS (v. 3) Red Hat Enterprise Linux AS (v. 4) Red Hat Enterprise Linux ES (v. 3) Red Hat Enterprise Linux ES (v. 4) Red Hat Enterprise Linux WS (v. 3) Red Hat Enterprise Linux WS (v. 4) https://rhn.redhat.com/ SGI Advanced Linux Environment 3 / RPM / Patch 10339 ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/RPMS Advanced Linux Environment 3 / SRPM / Patch 10339 ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/SRPMS Apple Mac OS 10.3.9 http://www.apple.com/support/downloads/securityupdate20070071039.html Mac OS Server 10.3.9 http://www.apple.com/support/downloads/securityupdate20070071039server.html Mac OS PPC 10.4.10 http://www.apple.com/support/downloads/securityupdate200700710410ppc.html Mac OS Server PPC 10.4.10 http://www.apple.com/support/downloads/securityupdate200700710410serverppc.html Mac OS Universal 10.4.10 http://www.apple.com/support/downloads/securityupdate200700710410universal.html Mac OS Server Universal 10.4.10 http://www.apple.com/support/downloads/securityupdate200700710410serveruniversal.html |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2006-4019 |
| BID | |
Recursos adicionales |
|
|
Debian Security Advisory (DSA-1154-1) http://www.us.debian.org/security/2006/dsa-1154 Mandriva Security Advisory MDKSA-2006:147 http://www.mandriva.com/security/advisories?name=MDKSA-2006:147 SUSE Security Summary Report SUSE-SR:2006:023 http://www.novell.com/linux/security/advisories/2006_23_sr.html Red Hat Security Advisory RHSA-2006:0668-9 https://rhn.redhat.com/errata/RHSA-2006-0668.html SGI Security Advisory (20061001-01-P) ftp://patches.sgi.com/support/free/security/advisories/20061001-01-P.asc Apple Security Update (306172) http://docs.info.apple.com/article.html?artnum=306172 |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2006-08-21 |
| 1.1 | Aviso emitido por Mandriva (MDKSA-2006:147) | 2006-08-28 |
| 1.2 | Aviso emitido por SUSE (SUSE-SR:2006:023) | 2006-10-03 |
| 1.3 | Aviso emitido por Red Hat (RHSA-2006:0668-9) | 2006-10-04 |
| 1.4 | Aviso emitido por SGI (20061001-01-P) | 2006-10-23 |
| 1.5 | Aviso emitido por Apple (306172) | 2007-08-02 |