blob: 80a736b2681efc905817c5389c5d1c16e7768f31 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
|
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e"
<define-tag description>различные уязвимости</define-tag>
<define-tag moreinfo>
<p>Обнаружены четыре уязвимости в squirrelmail:</p>
<ul>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0519">CAN-2004-0519</a>
<p>Несколько уязвимостей к перекрёстным между сайтами скриптам (XSS)
в SquirrelMail 1.4.2 позволяет удалённому нападающему выполнить
произвольный скрипт от имени другого пользователя и, возможно, выкрасть
информацию для авторизации путём атаки по разным направлениям, включая
параметр mailbox (ящик) в compose.php.</p>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0520">CAN-2004-0520</a>
<p>Уязвимость к перекрёстным между сайтами скриптам (XSS) в mime.php
SquirrelMail версий ранее 1.4.3 позволяет удалённому нападающему
вставить произвольный код на HTML и скрипт. Для этого используется заголовок
почтового сообщения, содержащий информацию о типе содержимого, как
показано в read_body.php.</p>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0521">CAN-2004-0521</a>
<p>Уязвимость к вставке SQL в SquirrelMail версий ранее 1.4.3 RC1
позволяет удалённому нападающему выполнять операторы SQL без авторизации.
Опасность не вполне определена. Вероятно, это делается посредством
abook_database.php.</p>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0639">CAN-2004-0639</a>
<p>Несколько уязвимостей к перекрёстным между сайтами скриптами (XSS)
в SquirrelMail 1.2.10 и более ранних позволяют удалённому нападающему
вставить произвольный код на HTML или скрипт посредством (1) переменной
$mailer в read_body.php, (2) переменной $senderNames_part в
mailbox_display.php. Возможно, также уязвимы (3) переменная $event_title
и (4) переменная $event_text.</p>
</ul>
<p>В текущем стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 1:1.2.6-1.4.</p>
<p>В нестабильном дистрибутиве (sid) эти проблемы исправлены
в версии 2:1.4.3a-0.1 и более ранних версиях.</p>
<p>Мы рекомендуем вам обновить пакет squirrelmail.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-535.data"
|