[Fedora] Mehrere Schwachstellen in SquirrelMail vor Version 1.4.22 – FEDORA-2011-9311

[Fedora] Mehrere Schwachstellen in SquirrelMail vor Version 1.4.22 - FEDORA-2011-9311

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-4554 – Clickjacking Schwachstelle in SquirrelMail

In SquirrelMail in der Datei functions/page_header.php wird nicht
verhindert, dass die Seite innerhalb eines anderen Frames von einem
anderen HTML Dokument eingebettet ist. Ein entfernter Angreifer kann
damit leichter Benutzer zum Clicken auf eine vermeintlich richtige
Webseite verleiten (clickjacking).

CVE-2011-2023 – Ungenuegende Filterung von ‘style’ HTML Tags

In SquirrelMail (functions/mime.php) vor Version 1.4.22 werden MIME
Nachrichten nicht ausreichend von vorhandenen ‘style’ HTML Tags
bereinigt. Ein entfernter Angreifer kann diese Schwachstelle mit einer
entsprechend aufgebauten E-Mail ausnutzen, um im Browser eines Benutzer
schadhaften JavaScript oder HTML Code auszufuehren (Cross-site
Scripting).

CVE-2010-4555 – Cross-site Scripting Schwachstelle in SquirrelMail

In SquirrelMail sind mehrere Schwachstellen bei der Filterung von
Inhalten enthalten, die zu Cross-site Scripting (XSS) ausgenutzt werden
koennen. Ein entfernter Angreifer kann diese Schwachstellen ausnutzen,
um im Browser eines Anwenders beliebigen HTML- oder Scriptcode
ausfuehren kann, wenn dieser eine entsprechend aufgebaute Email mit
SquirrelMail oeffnet.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket squirrelmail

Fedora 14
Fedora 15

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Torsten Voss

– —

Dipl.-Ing.(FH) Torsten Voss (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-9311
2011-07-13 18:48:12
– ——————————————————————————–

Name : squirrelmail
Product : Fedora 15
Version : 1.4.22
Release : 2.fc15
URL : http://www.squirrelmail.org/
Summary : webmail client written in php
Description :
SquirrelMail is a basic webmail package written in PHP4. It
includes built-in pure PHP support for the IMAP and SMTP protocols, and
all pages render in pure HTML 4.0 (with no JavaScript) for maximum
compatibility across browsers. It has very few requirements and is very
easy to configure and install.

– ——————————————————————————–
Update Information:

fixes:
– – CVE-2011-2023 : Messages containing style tags with malicious script attributes were being displayed without being sanitized
– – CVE-2010-4555 : An attacker could use one of several small bugs in SquirrelMail to inject malicious script into various pages or alter the contents of user preferences
– – CVE-2010-4554 : SquirrelMail is vulnerable to clickjacking attacks wherein the entire application can be loaded in a frame that could overlay other elements on top of SquirrelMail
– ——————————————————————————–
ChangeLog:

* Wed Jul 13 2011 Michal Hlavinka – 1.4.22-2
– – fix possible php warning
* Wed Jul 13 2011 Michal Hlavinka – 1.4.22-1
– – squirrelmail updated to 1.4.22
– – fixes CVE-2010-4554, CVE-2010-4555, CVE-2011-2023
– ——————————————————————————–
References:

[ 1 ] Bug #720693 – CVE-2010-4554 SquirrelMail: Prone to clickjacking attacks
https://bugzilla.redhat.com/show_bug.cgi?id=720693
[ 2 ] Bug #720694 – CVE-2010-4555 SquirrelMail: Multiple XSS flaws
https://bugzilla.redhat.com/show_bug.cgi?id=720694
[ 3 ] Bug #720695 – CVE-2011-2023 SquirrelMail: XSS in ‘style’ tag handling
https://bugzilla.redhat.com/show_bug.cgi?id=720695
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update squirrelmail’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJOLW+2AAoJEJtyb8U7iGZB0g4IAImAwEiKEJcAFNDboqRdVXX8
qtn3UR4rcPbhnDFgCTtpQrTdZg44WSQB7sDXQXhhEtanjJYTU5ijDmjYeU31VJ5Z
FVjOuNH/aN7OjC4hDiOTp7YIbYE5C3R81OEi9bUazu+gjqntTA+hLD/cpVJqwL4V
ucpobm4P5CxYP+2wqwzE6A5+Oe64R7+0YVoAL1SxenB9ZFryS8jsXz4V8dqpvXaG
cMOIhJFzpba6hMmFuTju4y2b+n7ZOOBguaRe+ggZkeFEnVZdIDLtjn1OAQm0nifw
Y2eLWbBH+l+Ye17wpURVGt7YTvLP97y5wOJLXA3GbSk2BKA9SmA8xDrZDi5d254=
=6MYC
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben