[转载]SquirrelMail compose.php多个信息泄露及数据修改漏洞
信息来源:绿盟科技发布日期:2006-08-11
更新日期:2006-08-15
受影响系统:
SquirrelMail SquirrelMail <= 1.4.7
不受影响系统:
SquirrelMail SquirrelMail 1.4.8
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 19486
CVE(CAN) ID: CVE-2006-4019
SquirrelMail是一个多功能的用PHP4实现的Webmail程序,可运行于Linux/Unix类操作系统下。
SquirrelMail在处理邮件操作时存在漏洞,远程攻击者可能利用此漏洞执行某些非授权操作。
认证用户可以覆盖SquirrelMail的compose.php脚本中的随机变量,这可能导致读取或覆盖用户的偏好文件或附件。
<*来源:Thijs Kinkhorst ([email]kink@squirrelmail.org[/email])
链接:[url]http://marc.theaimsgroup.com/?l=squirrelmail-announce&m=115529941731331&w=2[/url]
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
SquirrelMail
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
[url]http://www.squirrelmail.org/patches/sqm1.4.7-expired-post-fix-minimal.patch[/url]
[url]http://www.squirrelmail.org/patches/sqm1.4.7-expired-post-fix-full.patch[/url]
页:
[1]