S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 27 septembre 2005
N° CERTA-2005-AVI-364
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de Courier-SqWebMail

Gestion du document

Référence CERTA-2005-AVI-364
Titre Vulnérabilité de Courier-SqWebMail
Date de la première version27 septembre 2005
Date de la dernière version27 septembre 2005
Source(s) Changement du 2005-08-26 dans la liste des changements de Courier.
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Cross-site scripting

Systèmes affectés

Courier-SqWebMail versions 5.0.4 et antérieures.

Résumé

Une vulnérabilité de type cross-site scripting est présente dans le composant SqWebMail de Courier.

Description

Courier est un ensemble de services de messagerie comprenant un service de type webmail appelé SqWebMail. Une vulnérabilité de ce dernier permet à un utilisateur distant mal intentionné d'effectuer des attaques de type cross-site scripting par le biais d'un message électronique malicieusement constitué. La vulnérabilité est exploitable uniquement si la victime utilise Internet Explorer pour lire son courrier électronique via le webmail.

Solution

Mettre à jour Courier-SqWebMail en version 5.0.6 :

http://www.courier-mta.org/?download.php

Documentation

Gestion détaillée du document

    le 27 septembre 2005
    version initiale.