Risques
- Atteinte à l'intégrité des données
- Exécution de code arbitraire
Systèmes affectés
- SquirrelMail version 1.2.10 et antérieures (vulnérabilité CVE CAN-2004-0639).
- SquirrelMail version 1.4.2 (vulnérabilité CVE CAN-2004-0519) ;
- SquirrelMail version antérieures à 1.4.3 (vulnérabilité CVE CAN-2004-0520) ;
- SquirrelMail version antérieures à 1.4.3 RC1 (vulnérabilité CVE CAN-2004-0521) ;
Résumé
Plusieurs vulnérabilités ont été découvertes dans différentes versions de SquirrelMail.
Description
SquirrelMail est une application de type Webmail écrite en PHP4.
Plusieurs vulnérabilités ont été découvertes dans SquirrelMail :
- Plusieurs vulnérabilités de type
Cross Site Scriptingpermettent à un individu mal intentionné d'exécuter du code arbitraire à distance, de voler les informations d'authentification ou d'atteindre à l'intégrité des données (vulnérabilité CVE CAN-2004-0519 , CVE CAN-2004-0520 et CVE CAN-2004-0639) ; - une vulnérabilité de type
injection SQLpermet à un individu mal intentionné d'exécuter une requête SQL non sollicitée (vulnérabilité CVE CAN-2004-0521) ;
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Apple du 07 septembre 2004 : http://docs.info.apple.com/article.html?artnum=61798
- Bulletin de sécurité Debian DSA-535 du 2 août 2004 : http://www.debian.org/security/2004/dsa-535
- Bulletin de sécurité Gentoo GLSA 200406-08 du 15 juin 2004 : http://www.gentoo.org/security/en/glsa/glsa-200406-08.xml
- Bulletin de sécurité RedHat RHSA-2004:240-06 du 14 juin 2004 : http://www.redhat.com/errata/RHSA-2004-240.html
- Note d'information CERTA-2002-INF-001 du CERTA sur le Cross Site Scripting : http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-001/
