 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 25 juillet 2011
No CERTA-2011-AVI-410 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
SquirrelMail
Tableau 1: Gestion du document
| Référence |
CERTA-2011-AVI-410 |
| Titre |
Vulnérabilités
dans SquirrelMail |
| Date de la première
version |
25 juillet 2011 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Fedora Fedora-2011-9309 du
13 juillet 2011 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Atteinte à la confidentialité des
données ;
- injection de code indirecte à distance.
SquirrelMail 1.x.x versions antérieures à 1.4.21.
Plusieurs vulnérabilités autorisant une personne
malintentionnée à injecter indirectement du code
arbitraire à distance et à obtenir des
informations sensibles ont été découvertes
dans SquirrelMail.
Plusieurs vulnérabilités affectent SquirrelMail. Trois d'entre elles autorisent
une personne malintentionnée à injecter
indirectement du code à distance :
- CVE-2010-4554 et CVE-2011-2753 : de multiples erreurs
autorisent l'injection de script ou de code HTML à
distance via différents vecteurs : les boîtes de
dialogue déroulantes, le plugin de correction
orthographique SquirellSpell, la
page Index Order et la fonction empty trash.
- CVE-2011-2023 : le script functions/mime.php ne
gère pas correctement certaines balises de style
autorisant ainsi une injection de script ou de code HTML
;
La dernière vulnérabilité (CVE-2010-4554)
permet à une personne malveillante d'accéder
à des données sensibles de l'utilisateur (telles
que son mot de passe) via un vol de clic (clickjacking).
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 25 juillet 2011
- version initiale.
CERTA
2012-01-04
|
|
)
