Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Injection de code indirecte
Systèmes affectés
SquirrelMail versions 1.4.17 et antérieures.
Résumé
Plusieurs vulnérabilités présentes dans SquirrelMail permettent à un utilisateur distant de contourner la politique de sécurité, de porter atteinte à la confidentialité de certaines données ou de procéder à des attaques de type injection de code indirecte.
Description
Plusieurs vulnérabilités sont présentes dans SquirrelMail :
- un manque de contrôle dans les paramètres passés dans certaines URI de SquirrelMail permet à un utilisateur distant d'exécuter du code dans le contexte du navigateur d'un utilisateur consultant un SquirrelMail vulnérable ;
- une erreur dans la gestion des sessions des utilisateurs permet à une personne malveillante d'usurper la session d'un autre utilisateur ;
- un manque de contrôle lors de l'affichage de certains messages électroniques permet à un utilisateur distant de surcharger certains éléments de l'interface de SquirrelMail pour modifier son comportement.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité SquirrelMail : http://www.squirrelmail.org/security/issue/2009-05-09
- Bulletins de sécurité SquirrelMail : http://www.squirrelmail.org/security/issue/2009-05-10
- Bulletins de sécurité SquirrelMail : http://www.squirrelmail.org/security/issue/2009-05-12
- Bulletins de sécurité SquirrelMail : http://www.squirrelmail.org/security/issue/2009-05-11
- Bulletins de sécurité SquirrelMail : http://www.squirrelmail.org/security/issue/2009-05-08
- Référence CVE CVE-2009-1578 https://www.cve.org/CVERecord?id=CVE-2009-1578
- Référence CVE CVE-2009-1579 https://www.cve.org/CVERecord?id=CVE-2009-1579
- Référence CVE CVE-2009-1580 https://www.cve.org/CVERecord?id=CVE-2009-1580
- Référence CVE CVE-2009-1581 https://www.cve.org/CVERecord?id=CVE-2009-1581
