Fire sårbarheder er blevet i squirrelmail:
Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (XSS) i SquirrelMail 1.4.2 gør det muligt for fjernangribere at udføre et vilkårligt skript som andre brugere og muligvis stjæle autentifikationsoplysninger via flere forskellige angrebsmetoder, blandt andre mailbox-parameteret i compose.php.
Sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (XSS) i mime.php i SquirrelMail før version 1.4.3 gør det muligt for fjernangribere at indsætte vilkårlig HTML-kode og skripter via mailheaderen content-type, som demonstreret ved hjælp af read_body.php.
SQL-indsprøjtningssårbarhed i SquirrelMail før version 1.4.3 RC1 gør det muligt for fjernangribere at udføre uautoriserede SQL-kommandoer, med ukendte følgevirkninger, muligvis via abook_database.php.
Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (XSS) i Squirrelmail 1.2.10 og tidligere gør det muligt for fjernangribere at indsprøjte vilkårlig HTML-kode eller skripter via (1) variablen $mailer i read_body.php, (2) variablen $senderNames_part i mailbox_display.php og muligvis andre angrebsmetoder, blandt andre (3) variablen $event_title eller (4) variablen $event_text.
I den nuværende stabile distribution (woody), er disse problemer rettet i version 1:1.2.6-1.4.
I den ustabile distribution (sid), er disse problemer rettet i 2:1.4.3a-0.1 og tidligere versioner.
Vi anbefaler at du opdaterer din squirrelmail-pakke.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.