发布日期：2002-10-11
更新日期：2002-10-15

受影响系统：

SquirrelMail SquirrelMail 1.2.7
    - RedHat Linux 8.0

不受影响系统：

SquirrelMail SquirrelMail 1.2.8

描述：

---

CVE(CAN) ID: CVE-2002-1131

SquirrelMail是一款PHP编写的WEBMAIL程序。

SquirrelMail中多个脚本对用户提供的参数缺少正确过滤，远程攻击者可以利用这些漏洞进行跨站脚本执行攻击。

SquirrelMail中的addressbook.php、options.php、search.php、help.php脚本对用户提交的HTML或者JAVASCRIPT代码缺少过滤，远程攻击者可以构建包含恶意脚本代码的页面，并诱使用户点击访问，脚本代码就会在目标用户的浏览器上执行，造成基于Cookie认证的信息泄露。

<*链接：https://www.redhat.com/support/errata/RHSA-2002-204.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 浏览SquirrelMail时暂时关闭浏览器的JavaScript功能。

厂商补丁：

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2002:204-10）以及相应补丁:
RHSA-2002:204-10：Updated squirrelmail packages close cross-site scripting vulnerabilities
链接：https://www.redhat.com/support/errata/RHSA-2002-204.html

补丁下载：

Red Hat Linux 8.0:

SRPMS:
ftp://updates.redhat.com/8.0/en/os/SRPMS/squirrelmail-1.2.8-1.src.rpm

noarch:
ftp://updates.redhat.com/8.0/en/os/noarch/squirrelmail-1.2.8-1.noarch.rpm

可使用下列命令安装补丁：

rpm -Fvh [文件名]

浏览次数：2540
严重程度：0（网友投票）