Vier Verwundbarkeiten wurden in squirrelmail entdeckt:
Mehrere Verwundbarkeiten durch Site-übergreifende Skripte (XSS) in squirrelmail 1.4.2 erlauben entfernten Angreifern, beliebige Skripte als anderer Benutzer auszuführen und möglicherweise Authentifizierungsinformationen über mehrere Angriffsvektoren zu stehlen, einschließlich des Mailbox-Parameters in compose.php.
Verwundbarkeit durch Site-übergreifendes Skripting (XSS) in mime.php für SquirrelMail vor Version 1.4.3 erlaubt entfernten Angreifern beliebiges HTML oder Skripte über den Mail-Header content-type einzufügen, wie durch Verwendung von read_body.php demonstriert wurde.
Eine SQL-Injektions-Verwundbarkeit in SquirrelMail vor 1.4.3 RC1 erlaubt entfernten Angreifern, nicht autorisierte SQL-Befehle mit unbekannten Auswirkungen auszuführen, wahrscheinlich über abook_database.php.
Mehrere Verwundbarkeiten durch Site-übergreifendes Skripting (XSS) in Squirrelmail 1.2.10 und früher erlauben entfernten Angreifern, beliebiges HTML oder Skripte über folgende Mechanismen zu injizieren: (1) die Variable $mailer in read_body.php, (2) die Variable $senderNames_part in mailbox_display.php sowie möglicherweise andere Vektoren, einschließlich (3) der Variablen $event_title und (4) der Variablen $event_text.
Für die aktuelle Stable-Distribution (Woody) wurden diese Probleme in Version 1:1.2.6-1.4 behoben.
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 2:1.4.3a-0.1 und früheren Versionen behoben.
Wir empfehlen Ihnen, Ihr squirrelmail-Paket zu aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.