Boletines de Vulnerabilidades |
Inyección de código en Squirrelmail |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Integridad |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | Squirrelmail 1.4.0-RC1 - 1.4.4-RC1 |
Descripción |
|
Se ha descubierto una vulnerabilidad en las versiones que van des de la 1.4.0-RC1 a la 1.4.4-RC1 de Squirrelmail. La vulnerabilidad reside en un error de validación de entrada de URLs en "webmail.php". La explotación de esta vulnerabilidad podría permitir a un atacante remoto incluir páginas Web arbitrarias en el frameset de Squirrelmail. |
|
Solución |
|
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo. Actualización de software Squirrelmail Squirrelmail 1.4.0-RC1 - 1.4.4-RC1 - Parche http://cvs.sf.net/viewcvs.py/squirrelmail/squirrelmail/src/webmail.php?r1=1.92.2.5&r2=1.92.2.6&only_with_tag=SM-1_4-STABLE&diff_format=u Red Hat Linux Red Hat Desktop (v. 3) SRPMS squirrelmail-1.4.3a-9.EL3.src.rpm IA-32 squirrelmail-1.4.3a-9.EL3.noarch.rpm https://rhn.redhat.com/ Red Hat Enterprise Linux AS (v. 3) SRPMS squirrelmail-1.4.3a-9.EL3.src.rpm IA-32 squirrelmail-1.4.3a-9.EL3.noarch.rpm https://rhn.redhat.com/ Red Hat Enterprise Linux ES (v. 3) SRPMS squirrelmail-1.4.3a-9.EL3.src.rpm IA-32 squirrelmail-1.4.3a-9.EL3.noarch.rpm https://rhn.redhat.com/ Red Hat Enterprise Linux WS (v. 3) SRPMS squirrelmail-1.4.3a-9.EL3.src.rpm IA-32 squirrelmail-1.4.3a-9.EL3.noarch.rpm https://rhn.redhat.com/ Red Hat Linux Red Hat Desktop (v. 4) Red Hat Enterprise Linux AS (v. 4) Red Hat Enterprise Linux ES (v. 4) Red Hat Enterprise Linux WS (v. 4) https://rhn.redhat.com/ SUSE Linux Actualizar mediante YaST Online Update |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2005-0103 |
BID | |
Recursos adicionales |
|
Squirrelmail Security Advisory http://www.squirrelmail.org/security/issue/2005-01-19 Red Hat Security Advisory RHSA-2005:135-04 https://rhn.redhat.com/errata/RHSA-2005-135.html Red Hat Security Advisory RHSA-2005:099-06 https://rhn.redhat.com/errata/RHSA-2005-099.html SUSE Security Summary Report SUSE-SR:2005:014 http://www.novell.com/linux/security/advisories/2005_14_sr.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2005-02-11 |
1.1 | Aviso emitido por Red Hat (RHSA-2005:099-06) | 2005-02-16 |
1.2 | Aviso emitido por SUSE (SUSE-SR:2005:014) | 2005-06-08 |