L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de SquirrelMail : multiples Cross Sites Scripting

Synthèse de la vulnérabilité 

Plusieurs attaques de type Cross Site Scripting peuvent être menées à l'aide de SquirrelMail.
Systèmes impactés : Debian, Fedora, openSUSE, RHEL, RedHat Linux, SLES, Unix (plateforme) ~ non exhaustif.
Gravité de cette alerte : 2/4.
Date de création : 17/06/2005.
Dates de révisions : 18/07/2005, 29/07/2005, 04/08/2005.
Références de cette alerte : BID-13973, CERTA-2005-AVI-224, CVE-2005-1769, DSA-756, DSA-756-1, FEDORA-2005-779, FEDORA-2005-780, FLSA:163047, FLSA-2005:163047, MDKSA-2005:108, RHSA-2005:595, SUSE-SR:2005:018, V6-UNIXSQUIRRELMAILXSS3, VIGILANCE-VUL-5021.

Description de la vulnérabilité 

Le programme SquirrelMail, écrit en PHP, permet aux utilisateurs de consulter leur messagerie par le biais d'une interface web.

Plusieurs failles sont présentes dans la gestion :

- des paramètres des URLs,
- du contenu des mails.

Ces vulnérabilités permettent ainsi de mener des attaques de type Cross Site Scripting.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette annonce cyber-sécurité concerne les logiciels ou systèmes comme Debian, Fedora, openSUSE, RHEL, RedHat Linux, SLES, Unix (plateforme) ~ non exhaustif.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin de faille est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce de vulnérabilité.

Solutions pour cette menace 

SquirrelMail : patch et version.
La version 1.4.5 est corrigée :
  http://www.squirrelmail.org/
Un patch est disponible, pour cela il est conseillé d'installer la version 1.4.4 de SquirrelMail.
  http://prdownloads.sourceforge.net/squirrelmail/sqm-144-xss.patch?download

Debian : nouveaux paquetages squirrelmail.
De nouveaux paquetages sont disponibles :
Debian GNU/Linux 3.0 alias woody
  Source archives:
    http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4.dsc
      Size/MD5 checksum: 646 a3739e908230dfe1fa1074b299087276
    http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4.diff.gz
      Size/MD5 checksum: 24291 c7107719af77e02daae1c3fd5a4000b8
    http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6.orig.tar.gz
      Size/MD5 checksum: 1856087 be9e6be1de8d3dd818185d596b41a7f1
  Architecture independent components:
    http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.2.6-4_all.deb
      Size/MD5 checksum: 1841510 3557389721f6e851b772838205841e01
Debian GNU/Linux 3.1 alias sarge
  Source archives:
    http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1.dsc
      Size/MD5 checksum: 690 c518315ea574b2f268a028eb32de4497
    http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1.diff.gz
      Size/MD5 checksum: 23441 fb2b94a5b1bf90c1b8c8b0c71fe1c40c
    http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4.orig.tar.gz
      Size/MD5 checksum: 575871 f50548b6f4f24d28afb5e6048977f4da
  Architecture independent components:
    http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.4-6sarge1_all.deb
      Size/MD5 checksum: 569980 2150edd3d6fea2d20d7d448a75be8d63

Fedora Core : nouveaux paquetages squirrelmail.
De nouveaux paquetages sont disponibles :
  http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3/
eedfb9666898895bb5dded84697d0b1a SRPMS/squirrelmail-1.4.6-0.cvs20050812.1.fc3.src.rpm
843b6ffb98c87b5cb992a2c674410ad3 x86_64/squirrelmail-1.4.6-0.cvs20050812.1.fc3.noarch.rpm
843b6ffb98c87b5cb992a2c674410ad3 i386/squirrelmail-1.4.6-0.cvs20050812.1.fc3.noarch.rpm
  http://download.fedora.redhat.com/pub/fedora/linux/core/updates/4/
508ddbe3e2fadfd928529173321aecb4 SRPMS/squirrelmail-1.4.6-0.cvs20050812.1.fc4.src.rpm
8de6255428c1ba23029430ca8a4e0e43 x86_64/squirrelmail-1.4.6-0.cvs20050812.1.fc4.noarch.rpm
8de6255428c1ba23029430ca8a4e0e43 i386/squirrelmail-1.4.6-0.cvs20050812.1.fc4.noarch.rpm

Red Hat Linux, Fedora Core : nouveaux paquetages squirrelmail.
De nouveaux paquetages sont disponibles :
Red Hat Linux 9:
SRPM:
http://download.fedoralegacy.org/redhat/9/updates/SRPMS/squirrelmail-1.4.3-0.f0.9.6.legacy.src.rpm
i386:
http://download.fedoralegacy.org/redhat/9/updates/i386/squirrelmail-1.4.3-0.f0.9.6.legacy.noarch.rpm
Fedora Core 1:
SRPM:
http://download.fedoralegacy.org/fedora/1/updates/SRPMS/squirrelmail-1.4.3-0.f1.1.5.legacy.src.rpm
i386:
http://download.fedoralegacy.org/fedora/1/updates/i386/squirrelmail-1.4.3-0.f1.1.5.legacy.noarch.rpm
Fedora Core 2:
SRPM:
http://download.fedoralegacy.org/fedora/2/updates/SRPMS/squirrelmail-1.4.4-1.FC2.2.legacy.src.rpm
i386:
http://download.fedoralegacy.org/fedora/2/updates/i386/squirrelmail-1.4.4-1.FC2.2.legacy.noarch.rpm

RHEL : nouveaux paquetages squirrelmail.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 3: squirrelmail-1.4.3a-11.EL3
Red Hat Enterprise Linux version 4: squirrelmail-1.4.3a-12.EL4

SuSE : nouveaux paquetages apache2, clamav, fetchmail, MozillaFirefox, ruby, ampache, squirrelmail.
De nouveaux paquetages sont disponibles par FTP our YaST.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un bulletin de vulnérabilités de systèmes. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.