int(1885)

Boletines de Vulnerabilidades


Cross-Site Scripting en Squirrelmail

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de la visibilidad
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado Squirrelmail

Descripción

Se ha descubierto una vulnerabilidad de Cross-Site Scripting en Squirrelmail en el plugin "Adress Add" versiones 1.9 y 2.0. La vulnerabilidad reside en el script add.php que no valida algunas entradas.

Un atacante remoto podría inyectar código HTML o web script arbitrario mediante la etiqueta IMG.

Solución



Actualización de software

Mandrake

Corporate Server 3.0
X86
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/RPMS/squirrelmail-1.4.2-11.2.C30mdk.noarch.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/RPMS/squirrelmail-poutils-1.4.2-11.2.C30mdk.noarch.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/corporate/3.0/SRPMS/squirrelmail-1.4.2-11.2.C30mdk.src.rpm
X86_64
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/x86_64/corporate/3.0/RPMS/squirrelmail-1.4.2-11.2.C30mdk.noarch.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/x86_64/corporate/3.0/RPMS/squirrelmail-poutils-1.4.2-11.2.C30mdk.noarch.rpm
ftp://ftp.ps.pl/mirrors/Mandrakelinux/official/updates/x86_64/corporate/3.0/SRPMS/squirrelmail-1.4.2-11.2.C30mdk.src.rpm

Identificadores estándar

Propiedad Valor
CVE CAN-2005-3128
BID

Recursos adicionales

Mandriva Security Advisory (MDKSA-2005:178)
http://www.mandriva.com/security/advisories?name=MDKSA-2005:178

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2005-10-17

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT