{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"SquirrelMail versions 1.4.3 RC1 \u00e0 1.4.4 RC1(vuln\u00e9rabilit\u00e9 CAN-2005-0075).","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"SquirrelMail versions 1.4.0 RC1 \u00e0 1.4.4 RC1 (vuln\u00e9rabilit\u00e9s CAN-2005-0103 et CAN-2005-104) ;","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nSquirrelMail est une application de type Webmail \u00e9crite en PHP4.\nPlusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans SquirrelMail :\n\n-   une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans la page `prefs.php` permet \u00e0 un\n    individu mal intentionn\u00e9 d'ex\u00e9cuter du code arbitraire sur le\n    serveur SquirrelMail. Cette vuln\u00e9rabilit\u00e9 affecte uniquement les\n    personnes ayant activ\u00e9 la variable `register_globals` \u00e0 On\n    (vuln\u00e9rabilit\u00e9 CAN-2005-0075) ;\n-   une vuln\u00e9rabilit\u00e9 dans le traitement des variables des adresses\n    r\u00e9ticulaires (URL) permet \u00e0 un individu mal intentionn\u00e9, via une URL\n    judicieusement construite, d'inclure une page web malicieuse dans\n    SquirrelMail (vuln\u00e9rabilit\u00e9 CAN-2005-0103) ;\n-   une vuln\u00e9rabilit\u00e9 de type `Cross Site Scripting` est pr\u00e9sente dans\n    la page `webmail.php` qui permet \u00e0 un individu mal intentionn\u00e9\n    d'ex\u00e9cuter du code arbitraire sur les clients acc\u00e9dant \u00e0\n    SquirrelMail (vuln\u00e9rabilit\u00e9 CAN-2005-104).\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 FreeBSD pour squirrelmail et    ja-squirrelmail du 01 juin 2005 :","url":"http://www.vuxml.org/freebsd/pkg-squirrelmail.html"},{"title":"Bulletin de s\u00e9curit\u00e9 SquirrelMail \"Frame content changing    in webmail.php\" du 19 janvier 2005 :","url":"http://www.squirrelmail.org/security/issue/2005-01-19"},{"title":"Bulletin de s\u00e9curit\u00e9 SquirrelMail \"Local file inclusions un    prefs.php\" du 14 janvier 2005 :","url":"http://www.squirrelmail.org/security/issue/2005-01-14"},{"title":"Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200501-39 du 28 janvier    2005 :","url":"http://security.gentoo.org/glsa/glsa-200501-39.xml"},{"title":"Bulletin de s\u00e9curit\u00e9 SUSE SUSE-SR:2005:014 du 07 juin 2005    :","url":"http://www.novell.com/linux/security/advisories/2005_14_sr.html"},{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-662 du 01 f\u00e9vrier 2005 :","url":"http://www.debian.org/security/2005/dsa-662"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 des paquetages NetBSD squirrelmail    et ja-squirrelmail :","url":"ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/mail/squirrelmail/README.html"},{"title":"Bulletin de s\u00e9curit\u00e9 RedHat (v.4) RHSA-2005:099 du 15    f\u00e9vrier 2005 :","url":"http://rhn.redhat.com/errata/RHSA-2005-099.html"},{"title":"Mise \u00e0 jour de s\u00e9curit\u00e9 des paquetages NetBSD squirrelmail    et ja-squirrelmail :","url":"ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/mail/ja-squirrelmail/README.html"},{"title":"Bulletin de s\u00e9curit\u00e9 RedHat (v.3) RHSA-2005:135 du 10    f\u00e9vrier 2005 :","url":"http://rhn.redhat.com/errata/RHSA-2005-135.html"},{"title":"Bulletin de s\u00e9curit\u00e9 SquirrelMail \"XSS vulnerability in    webmail.php\" du 20 janvier 2005 :","url":"http://www.squirrelmail.org/security/issue/2005-01-20"}],"reference":"CERTA-2005-AVI-038","revisions":[{"description":"version initiale.","revision_date":"2005-01-31T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Debian DSA-662 et de la r\u00e9f\u00e9rence CVE CAN-2005-0152.","revision_date":"2005-02-01T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200501-39.","revision_date":"2005-02-02T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 RedHat RHSA-2005:135.","revision_date":"2005-02-11T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence \u00e0 un second bulletin de s\u00e9curit\u00e9 RedHat, RHSA-2005:099.","revision_date":"2005-02-17T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 NetBSD.","revision_date":"2005-03-01T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 SUSE.","revision_date":"2005-06-08T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 FreeBSD.","revision_date":"2005-06-10T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"},{"description":"Ex\u00e9cution de code arbitraire"}],"summary":"Trois vuln\u00e9rabilit\u00e9s pr\u00e9sentes dans SquirrelMail permettent d'ex\u00e9cuter\ndu code arbitraire sur le serveur ou sur le client\n(`Cross Site Scripting`).\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans SquirrelMail","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 SquirrelMail","url":null}]}