--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 191-2 security@debian.org
http://www.debian.org/security/ Martin Schulze
07 de Novembro de 2002 http://www.debian.org/security/faq
----------------------------------------------------------------------------
Pacote : squirrelmail
Vulnerabilidade : cross site scripting
Tipo de Problema : remoto
Específico ao Debian : não
Id BugTraq : 5949
Id CVE : CAN-2002-1131 CAN-2002-1132
A atualização de segurança para o Squirrelmail (DSA 191-1) infelizmente
introduziu um bug na página "options". Este problema foi corrigido
na versão 1.2.6-1.2 para a atual distribuição estável (woody). A distribuição
instável (sid) e a antiga distribuição estável (potato) não foram afetadas
por isso. Para maiores informações, por favor, veja o alerta de segurança
original:
Várias vulnerabilidades cross site scripting foram encontradas no squirrelmail,
um pacote de webmail com muitas características, escrito em PHP4. O projeto
Common Vulnerabilities and Exposures (CVE) identificou as seguintes
vulnerabilidades:
1. CAN-2002-1131: A entrada do usuário não é sempre checada, então
a execução de código arbitrário em um computador cliente é possível.
Isso pode ocorrer ao visualizar uma URL maliciosa ou uma entrada
do catalógo de endereços modificada.
2. CAN-2002-1132: Outro problema pode fazer com que seja possível que
um atacante obtenha informações privadas sob certas condições.
Quando um argumento mal formado está incluído em um link, uma página
de erro será gerada, contendo o nome absoluto do caminho do script.
De qualquer forma, esta informação está disponível através do arquivo
Contents da distribuição.Attachment:
pgpaSii1aTiKZ.pgp
Description: PGP signature