squirrelmail-1.4.8-5.7AXS3
エラータID: AXSA:2009-60:01
リリース日:
2009/06/04 Thursday - 21:24
題名:
squirrelmail-1.4.8-5.7AXS3
影響のあるチャネル:
Asianux Server 3 for x86
Asianux Server 3 for x86_64
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- SquirrelMail には複数のクロスサイトスクリプティング (XSS) の脆弱性が存在し、リモートの攻撃者が任意のWEBスクリプトあるいは HTMLを混入する脆弱性があります。(CVE-2009-1578)
- SquirrelMail の map_yp_alias 関数には ypmatch で使用されているユーザ名に含まれるシェルのメタキャラクタによってリモートの攻撃者が任意のコードを実行する問題があります。(CVE-2009-1579)
- SquirrelMail の functions/mime.php には HTMLメールのメッセージにおいて CSS ポジショニング機能からアプリケーションの内容が保護されていないため、リモートの攻撃者がユーザになりすましたり、クロスサイトスクリプティング (XSS) 攻撃を行ったり、フィッシング攻撃を行う脆弱性があります。(CVE-2009-1581)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2009-1578
Multiple cross-site scripting (XSS) vulnerabilities in SquirrelMail before 1.4.18 and NaSMail before 1.7 allow remote attackers to inject arbitrary web script or HTML via vectors involving (1) certain encrypted strings in e-mail headers, related to contrib/decrypt_headers.php; (2) PHP_SELF; and (3) the query string (aka QUERY_STRING).
Multiple cross-site scripting (XSS) vulnerabilities in SquirrelMail before 1.4.18 and NaSMail before 1.7 allow remote attackers to inject arbitrary web script or HTML via vectors involving (1) certain encrypted strings in e-mail headers, related to contrib/decrypt_headers.php; (2) PHP_SELF; and (3) the query string (aka QUERY_STRING).
CVE-2009-1579
The map_yp_alias function in functions/imap_general.php in SquirrelMail before 1.4.18 and NaSMail before 1.7 allows remote attackers to execute arbitrary commands via shell metacharacters in a username string that is used by the ypmatch program.
The map_yp_alias function in functions/imap_general.php in SquirrelMail before 1.4.18 and NaSMail before 1.7 allows remote attackers to execute arbitrary commands via shell metacharacters in a username string that is used by the ypmatch program.
CVE-2009-1581
functions/mime.php in SquirrelMail before 1.4.18 does not protect the application's content from Cascading Style Sheets (CSS) positioning in HTML e-mail messages, which allows remote attackers to spoof the user interface, and conduct cross-site scripting (XSS) and phishing attacks, via a crafted message.
functions/mime.php in SquirrelMail before 1.4.18 does not protect the application's content from Cascading Style Sheets (CSS) positioning in HTML e-mail messages, which allows remote attackers to spoof the user interface, and conduct cross-site scripting (XSS) and phishing attacks, via a crafted message.
追加情報:
N/A
ダウンロード:
SRPMS
- squirrelmail-1.4.8-5.7AXS3.src.rpm
MD5: cdee154ae21254a4590f79cf7dc04559
SHA-256: 7623f1a8898b98482c7625dbf7f778eab0cca481bfc5ddff2a8117f558889a54
Size: 3.00 MB
Asianux Server 3 for x86
- squirrelmail-1.4.8-5.7AXS3.noarch.rpm
MD5: 67cb78db41ee78db3c9a4118d3cbd480
SHA-256: 5136ab48a3ec32947e402a2cdf9de301fc5a680477289d9e1708d1ee18357d27
Size: 4.32 MB
Asianux Server 3 for x86_64
- squirrelmail-1.4.8-5.7AXS3.noarch.rpm
MD5: c2585ff1a13c2fca2b28683feba13a46
SHA-256: 0cd6bb3911e6f17f2d420998cdf1a1bc8f07225c1748c3c9300e1ca02496133b
Size: 4.32 MB