20020 2009-05-12 21:51:39 +0400 Multiple Vulnerabilities: CVE-2009-1578, CVE-2009-1579, CVE-2009-1580, CVE-2009-1581 2009-05-21 16:16:32 +0400 1 1 4 Development Sisyphus squirrelmail unstable all Linux CLOSED FIXED http://secunia.com/advisories/35073/ security P3 blocker --- 20130 1 crux oddity vvk qa-sisyphus oldest_to_newest 91099 0 crux 2009-05-12 21:51:39 +0400 Несколько уязвимостей было обнаружено в SqurrelMail, которые могут быть использованы для проведения XSS, фишинг атак, выполнения произвольного кода. * CVE-2009-1578 - недостаточная проверка данных, передаваемых в переменных окружения PHP_SELF, QUERY_STRING в functions/global.php, а также входных данных в форме contrib/decrypt_headers.php, позволяет внедрять html/script код в страницу * CVE-2009-1579 - возможность выполнения произвольного кода, в случае если SqureelMail настроен на использование функциональности "map_yp_alias" * CVE-2009-1580 - возможность получения контроля над сессией злоумышленником, если существует возможность изменять cookie в браузере клиента (например, через XSS-атаку) * CVE-2009-1581 - XSS и фишинг атаки через специально сформированное HTML-письмо с использованием CSS позиционирования. Upstream выпустил исправление в новой версии 1.4.18 91114 1 vvk 2009-05-13 09:25:24 +0400 Если текущий майнтэйнер занят, могу заняться через некоторое время. 91179 2 crux 2009-05-14 19:37:34 +0400 fixed in sisyphus 91300 3 crux 2009-05-17 00:21:34 +0400 closed