[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Segurança] [DSA 191-1] Novos pacotes squirrelmail corrigem falhas cross site scripting

--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 191-1                   security@debian.org
http://www.debian.org/security/                             Martin Schulze
08 de Novembro de 2002			http://www.debian.org/security/faq
--------------------------------------------------------------------------

Pacote			: squirrelmail
Vulnerabilidade		: cross site scripting
Tipo de Problema	: remoto
Específico ao Debian	: não
Id CVE			: CAN-2002-1131 CAN-2002-1132
Id BuqTraq		: 5949

Várias vulnerabilidades cross site scripting foram encontradas 
no squirrelmail, um pacote de webmail com muitas características, 
escrito em PHP4. O projeto Common Vulnerabilities and Exposures 
(CVE) identificou as seguintes vulnerabilidades: 

CAN-2002-1131: A entrada do usuário não é sempre checada, então
    a execução de código arbitrário em computador cliente é possível. 
    Isso pode ocorrer ao visualizar uma URL maliciosa ou uma entrada 
    do catalógo de endereços modificada. 

CAN-2002-1132: Outro problema pode fazer com que seja possível que
    um atacante obtenha informações privadas sob certas condições. 
    Quando um argumento mal formado está incluído em um link, uma página
    de erro será gerada, contendo o nome absoluto do caminho do script. 
    De qualquer forma, esta informação está disponível através do arquivo
    Contents da distribuição. 

Estes problemas foram corrigidos na versão 1.2.6-1.1 para a atual 
distribuição estável (woody) e na versão 1.2.8-1.1 para a distribuição
instável (sid).  A antiga distribuição estável (potato) não foi afetada, 
uma vez que não contém o pacote squirrelmail.

Nós recomendamos que você atualize seu pacote squirrelmail.

--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista 
debian-security-announce@lists.debian.org. Caso queira receber os 
alertas em inglês e minutos depois de sua publicação, inscreva-se na 
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------

Attachment: pgpuKNVzEmkbV.pgp
Description: PGP signature

Reply to: