Fyra sårbarheter upptäcktes i squirrelmail:
Flera serveröverskridande skriptsårbarheter (XSS) i SquirrelMail 1.4.2 gör det möjligt för angripare utifrån att exekvera godtycklig kod som andra användare och möjligen stjäla autentiseringsinformation via flera angreppsvektorer, bland annat mailbox-parametern i compose.php.
En serveröverskridande skriptsårbarhet (XSS) i mime.php för SquirrelMail före 1.4.3 gör det möjligt för angripare utifrån att lägga in godtycklig HTML och skript via e-posthuvudet content-type, vilket demonstreras genom att använda read_body.php.
En SQL-injiceringssårbarhet i SquirrelMail före 1.4.3 RC1 gör det möjligt för angripare utifrån att exekvera icke-auktoriserade SQL-kommandon, med okänt resultat, troligen via abook_database.php.
Flera serveröverskridande skriptsårbarheter (XSS) i SquirrelMail 1.2.10 och tidigare gör det möjligt för angripare utifrån att injicera godtycklig HTML eller skript via (1) variabeln $mailer i read_body.php, (2) variabeln $senderNames_part i mailbox_display.php, samt möjligtvis även andra ställen, till exempel (3) variabeln $event_title eller (4) variabeln $event_text.
För den nuvarande stabila utgåvan (Woody) har dessa problem rättats i version 1:1.2.6-1.4.
För den instabila utgåvan (Sid) har dessa problem rättats i 2:1.4.3a-0.1 och tidigare versioner.
Vi rekommenderar att ni uppgraderar ert squirrelmail-paket.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.