Risque
- Contournement de la politique de sécurité
Systèmes affectés
Toutes les versions de SquirrelMail comprises entre 1.4.0 et 1.4.4 (version incluse).
Description
Plusieurs vulnérabilités dans SquirrelMail permettent à un utilisateur mal intentionné, via une URL malicieuse ou un message électronique, de réaliser des attaques de type cross-site scripting.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Un correctif pour la version 1.4.4 est disponible à l'adresse suivante :
http://prdownloads.sourceforge.net/squirrelmail/sqm-144-xss.patch?download
Documentation
- Bulletin de sécurité SquirrelMail du 15 juin 2005 http://www.squirrelmail.org/security/issue/2005-06-15
- Bulletin de sécurité Debian DSA-756 du 13 juillet 2005 : http://www.debian.org/security/2005/dsa-756
- Bulletin de sécurité FreeBSD pour squirrelmail et ja-squirrelmail du 18 juin 2005 : http://www.vuxml.org/freebsd/pkg-squirrelmail.html
- Bulletin de sécurité Gentoo GLSA 200506-19 du 21 juin 2005 : http://www.gentoo.org/security/en/glsa/glsa-200506-19.xml
- Bulletin de sécurité SUSE SUSE-SR:2005:018 du 28 juillet 2005 : http://www.novell.com/linux/security/advisories/2005_18_sr.html
- Site Internet de SquirrelMail : http://www.squirrelmail.org
