squirrelmail-1.4.8-5.3AXS3

エラータID: AXSA:2009-17:02

リリース日: 
2009/02/06 Friday - 14:33
題名: 
squirrelmail-1.4.8-5.3AXS3
影響のあるチャネル: 
Asianux Server 3 for x86
Asianux Server 3 for x86_64
Asianux Server 3 for ppc
Asianux Server 3 for ia64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- SquirrelMail には、ハイパーリンクの処理に不備があるためクロスサイトスクリプティングの脆弱性が存在します。 (CVE-2008-2379)

- SquirrelMail には、https セッション内のセッションクッキーに対する secure フラグがセットされないため、クッキーを取得されやすくなる脆弱性が存在します。 (CVE-2008-3663)

- SquirrelMail には、セッションIDの割り当てに不備があるため、攻撃者から他のユーザーのフォルダ一覧や設定データにアクセスされる可能性があります。(CVE-2009-0030)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2009-0030
A certain Red Hat patch for SquirrelMail 1.4.8 sets the same SQMSESSID cookie value for all sessions, which allows remote authenticated users to access other users' folder lists and configuration data in opportunistic circumstances by using the standard webmail.php interface. NOTE: this vulnerability exists because of an incorrect fix for CVE-2008-3663.


追加情報: 

N/A

ダウンロード: 

SRPMS
  1. squirrelmail-1.4.8-5.3AXS3.src.rpm
    MD5: 60c0e60fa727171beab9e941c06030c9
    SHA-256: 580ce7e24d87bc0d7080c5b210a80ffd3859f4cb03c2698b8d74101a3efcad3e
    Size: 3.00 MB

Asianux Server 3 for x86
  1. squirrelmail-1.4.8-5.3AXS3.noarch.rpm
    MD5: efab2a55e220fafc1b73e85cd69b020a
    SHA-256: 5bc1ca4ccef4e7c127823e3551893c1afaebbd12e3679b193e38a4ed3b5c0f4e
    Size: 4.32 MB

Asianux Server 3 for x86_64
  1. squirrelmail-1.4.8-5.3AXS3.noarch.rpm
    MD5: 3cbb1f5f0caea59654803473f95282f4
    SHA-256: 92a1bcd876e0db7ef7bfe386af4b72d38cdbd923a2bca9ba70ffc9c80fa3137f
    Size: 4.31 MB