squirrelmail に 4 つの欠陥が発見されました。
複数のクロスサイトスクリプティング (XSS) 欠陥が squirrelmail 1.4.2 にあり、リモートの攻撃者が他のユーザとして任意スクリプトを実行したり、 認証情報を盗んだりする恐れがあります。攻撃手法は、compose.php のメールボックスパラメータを用いるものなど複数あります。
クロスサイトスクリプティング (XSS) 欠陥が squirrelmail 1.4.3 およびそれ以前の mime.php にあり、リモートの攻撃者が Content-type メールヘッダを悪用して任意の HTML やスクリプトを挿入する恐れがあります。 read_body.php を用いた攻撃手法が公表されています。
squirrelmail 1.4.3 RC1 以前に SQL インジェクション攻撃が可能な欠陥があり、 リモートの攻撃者から不正な SQL 文を実行される恐れがあります。 攻撃手法は知られていませんが、恐らく abook_database.php を用いれば可能でしょう。
複数のクロスサイトスクリプティング (XSS) 欠陥が squirrelmail 1.2.10 およびそれ以前にあり、リモートの攻撃者が他のユーザとして任意の HTML やスクリプトを挿入する恐れがあります。(1) read_body.php の $mailer 変数、(2) mailbox_display.php の $senderNames_part 変数を使った攻撃が可能で、他に (3) $event_title 変数や (4) $event_text 変数を使った攻撃手法があるかもしれません。
安定版 (stable) ディストリビューション (woody) では、これらの問題はバージョン 1:1.2.6-1.4 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバージョン 2:1.4.3a-0.1 およびそれ以前のバージョンで修正されています。
直ちに squirrelmail パッケージをアップグレードすることをお勧めします。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。