 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 13 mai 2009
No CERTA-2009-AVI-188 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans SquirrelMail
Tableau 1: Gestion du document
| Référence |
CERTA-2009-AVI-188 |
| Titre |
Multiples
vulnérabilités dans
SquirrelMail |
| Date de la première
version |
13 mai 2009 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletins de
sécurité SquirrelMail du 8, 9, 10,
11, 12 mai 2009 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Contournement de la politique de sécurité
;
- exécution de code arbitraire à distance
;
- atteinte à la confidentialité des
données ;
- injection de code indirecte.
SquirrelMail versions 1.4.17 et antérieures.
Plusieurs vulnérabilités présentes dans
SquirrelMail permettent à un utilisateur
distant de contourner la politique de sécurité,
de porter atteinte à la confidentialité de
certaines données ou de procéder à des
attaques de type injection de code indirecte.
Plusieurs vulnérabilités sont présentes
dans SquirrelMail :
- un manque de contrôle dans les paramètres
passés dans certaines URI
de SquirrelMail permet à un utilisateur
distant d'exécuter du code dans le contexte du
navigateur d'un utilisateur consultant un
SquirrelMail vulnérable ;
- une erreur dans la gestion des sessions des utilisateurs
permet à une personne malveillante d'usurper la
session d'un autre utilisateur ;
- un manque de contrôle lors de l'affichage de
certains messages électroniques permet à un
utilisateur distant de surcharger certains
éléments de l'interface de
SquirrelMail pour modifier son comportement.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 13 mai 2009
- version initiale.
CERTA
2012-01-04
|
|
)
