Vulnerability-Lookup

CERTA-2005-AVI-262

Vulnerability from certfr_avis - Published: 2005-07-15 - Updated: 2005-09-19

None

Description

Une vulnérabilité dans SquirrelMail (mauvais filtrage de la variable \$_POST dans le fichier options_identities.php) permet à un utilisateur mal intentionné de modifier des préférences des utilisateurs, de réaliser des attaques de type cross-site scripting ou d'écrire dans des fichiers arbitraires sur le système vulnérable.

Solution

Mettre à jour SquirrelMail en version 1.4.5.

SquirrelMail peut se télécharger à l'adresse suivante :

http://www.squirrelmail.org/download.php

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Les versions de SquirrelMail comprises entre la version 1.4.0 et la version 1.4.5-RC1 (incluse).

Impacted products

	Vendor	Product	Description

References

Title

Publication Time

Tags

Bulletin de sécurité Debian DSA-756 du 13 juillet 2005	None	vendor-advisory
Bulletin de sécurité SquirrelMail du 13 juillet 2005 :	-	other
Bulletin de sécurité SUSE SUSE-SR:2005:018 du 28 juillet 2005 :	-	other
Bulletin de sécurité FreeBSD pour squirrelmail et ja-squirrelmail du 17 septembre 2005 :	-	other
Bulletin de sécurité FreeBSD pour squirrelmail et ja-squirrelmail du 17 septembre 2005 :	-	other
Site Internet de SquirrelMail :	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eLes versions de SquirrelMail comprises  entre la version 1.4.0 et la version 1.4.5-RC1 (incluse).\u003c/p\u003e",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 dans SquirrelMail (mauvais filtrage de la variable\n\\$\\_POST dans le fichier options_identities.php) permet \u00e0 un utilisateur\nmal intentionn\u00e9 de modifier des pr\u00e9f\u00e9rences des utilisateurs, de\nr\u00e9aliser des attaques de type cross-site scripting ou d\u0027\u00e9crire dans des\nfichiers arbitraires sur le syst\u00e8me vuln\u00e9rable.\n\n## Solution\n\nMettre \u00e0 jour SquirrelMail en version 1.4.5.  \n  \nSquirrelMail peut se t\u00e9l\u00e9charger \u00e0 l\u0027adresse suivante :\n\n    http://www.squirrelmail.org/download.php\n\n  \nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [],
  "initial_release_date": "2005-07-15T00:00:00",
  "last_revision_date": "2005-09-19T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 SquirrelMail du 13 juillet 2005 :",
      "url": "http://www.squirrelmail.org/security/issue/2005-07-13"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 SUSE SUSE-SR:2005:018 du 28 juillet    2005 :",
      "url": "http://www.novell.com/linux/security/advisories/2005_18_sr.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 FreeBSD pour squirrelmail et    ja-squirrelmail du 17 septembre 2005 :",
      "url": "http://www.vuxml.org/freebsd/pkg-ja-squirrelmail.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 FreeBSD pour squirrelmail et    ja-squirrelmail du 17 septembre 2005 :",
      "url": "http://www.vuxml.org/freebsd/pkg-squirrelmail.html"
    },
    {
      "title": "Site Internet de SquirrelMail :",
      "url": "http://www.squirrelmail.org"
    }
  ],
  "reference": "CERTA-2005-AVI-262",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2005-07-15T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 SUSE SUSE-SR:2005:018.",
      "revision_date": "2005-07-29T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 FreeBSD.",
      "revision_date": "2005-09-19T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Cross-site scripting"
    },
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": null,
  "title": "Vuln\u00e9rabilit\u00e9 de SquirrelMail",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-756 du 13 juillet 2005",
      "url": "http://www.debian.org/security/2005/dsa-756"
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted