Vulnérabilité de Courier-SqWebMail

Gestion du document

Référence	CERTA-2005-AVI-364
Titre	Vulnérabilité de Courier-SqWebMail
Date de la première version	27 septembre 2005
Date de la dernière version	27 septembre 2005
Source(s)	Changement du 2005-08-26 dans la liste des changements de Courier.
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Cross-site scripting.

Systèmes affectés

Courier-SqWebMail versions 5.0.4 et antérieures.

Résumé

Une vulnérabilité de type cross-site scripting est présente dans le composant SqWebMail de Courier.

Description

Courier est un ensemble de services de messagerie comprenant un service de type webmail appelé SqWebMail. Une vulnérabilité de ce dernier permet à un utilisateur distant mal intentionné d'effectuer des attaques de type cross-site scripting par le biais d'un message électronique malicieusement constitué. La vulnérabilité est exploitable uniquement si la victime utilise Internet Explorer pour lire son courrier électronique via le webmail.

Solution

Mettre à jour Courier-SqWebMail en version 5.0.6 :

http://www.courier-mta.org/?download.php

Documentation

Site de Courier :
```
http://www.courier-mta.org
```
Site de SqWebMail :
```
http://www.courier-mta.org/sqwebmail/
```

Liste des changements de Courier :

http://www.courier-mta.org/changelog.html

Bulletin de sécurité Debian DSA-820 du 24 septembre 2005 :
```
http://www.debian.org/security/2005/dsa-820
```

Référence CVE CAN-2005-2820 :

https://www.cve.org/CVERecord?id=CAN-2005-2820

Avis du CERT-FR

Objet: Vulnérabilité de Courier-SqWebMail