 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 08 septembre
2004
No CERTA-2004-AVI-263-001 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans SquirrelMail
Tableau 1: Gestion du document
| Référence |
CERTA-2004-AVI-263-001 |
| Titre |
Multiples
vulnérabilités dans
SquirrelMail |
| Date de la première
version |
04 août 2004 |
| Date de la dernière
version |
08 septembre 2004 |
| Source(s) |
Bulletin de
sécurité DSA-535 de Debian |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire ;
- atteinte à l'intégrité des
données.
- SquirrelMail version 1.4.2 (vulnérabilité
CVE CAN-2004-0519) ;
- SquirrelMail version antérieures à 1.4.3
(vulnérabilité CVE CAN-2004-0520) ;
- SquirrelMail version antérieures à 1.4.3
RC1 (vulnérabilité CVE CAN-2004-0521) ;
- SquirrelMail version 1.2.10 et antérieures
(vulnérabilité CVE CAN-2004-0639).
Plusieurs vulnérabilités ont été
découvertes dans différentes versions de
SquirrelMail.
SquirrelMail est une application de type Webmail
écrite en PHP4. Plusieurs
vulnérabilités ont été
découvertes dans SquirrelMail :
- Plusieurs vulnérabilités de type
Cross Site Scripting permettent à un
individu mal intentionné d'exécuter du code
arbitraire à distance, de voler les informations
d'authentification ou d'atteindre à
l'intégrité des données
(vulnérabilité CVE CAN-2004-0519 , CVE
CAN-2004-0520 et CVE CAN-2004-0639) ;
- une vulnérabilité de type
injection
SQL permet à un individu mal intentionné
d'exécuter une requête SQL non sollicitée
(vulnérabilité CVE CAN-2004-0521) ;
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 04 août 2004
- version initiale.
- 08 septembre 2004
- ajout de la référence au bulletin de
sécurité Apple.
CERTA
2012-01-04
|
|
)
