Sigurnosni nedostaci SquirrelMail paketa

E-mailKod SquirrelMail programskog paketa pronadjen je niz sigurnosnih nedostataka. SquirrelMail je web aplikacija otvorenog koda za primanje i slanje elektroničke poste, a razvijena je programskim jezikom PHP.Propusti su vezani uz nepravilnu obradu parametara "mailto" unutar "webmail.php" datoteke, "session" i "delete_draft" unutar "compose.php" te "magicHTML" filtra.

Nedostaci omogućuju umetanje proizvoljnog JavaScript programskog koda te tako korisnik aplikacije postaje potencijalnom metom XSS (Cross-Site Scripting) napada.

Ranjivost ima oznake: DSA 1241-1 i CVE-2006-6142.

Propust je ispravljen u paketu squirrelmail verzije 2:1.4.4-10 za Debian Sarge.

Novi paket može se instalirati na uobičajeni način:

apt-get update
apt-get upgrade

tj. prilikom instalacije samo spomenutog paketa:

apt-get update
apt-get -y install squirrelmail

Više informacija nalazi se na:
http://www.debian.org/security/2006/dsa-1241

pon, 2007-01-15 12:08 - Uredništvo
Vijesti: 
Sigurnosni propusti
Kategorije: 
Sigurnost
Vote: 
0
No votes yet