首页 -> 安全研究

安全研究

安全漏洞
SquirrelMail多个脚本跨站脚本执行漏洞

发布日期:2002-10-11
更新日期:2002-10-15

受影响系统:
SquirrelMail SquirrelMail 1.2.7
    - RedHat Linux 8.0
不受影响系统:
SquirrelMail SquirrelMail 1.2.8
描述:
CVE(CAN) ID: CVE-2002-1131

SquirrelMail是一款PHP编写的WEBMAIL程序。

SquirrelMail中多个脚本对用户提供的参数缺少正确过滤,远程攻击者可以利用这些漏洞进行跨站脚本执行攻击。

SquirrelMail中的addressbook.php、options.php、search.php、help.php脚本对用户提交的HTML或者JAVASCRIPT代码缺少过滤,远程攻击者可以构建包含恶意脚本代码的页面,并诱使用户点击访问,脚本代码就会在目标用户的浏览器上执行,造成基于Cookie认证的信息泄露。

<*链接:https://www.redhat.com/support/errata/RHSA-2002-204.html
*>

建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 浏览SquirrelMail时暂时关闭浏览器的JavaScript功能。

厂商补丁:

RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2002:204-10)以及相应补丁:
RHSA-2002:204-10:Updated squirrelmail packages close cross-site scripting vulnerabilities
链接:https://www.redhat.com/support/errata/RHSA-2002-204.html

补丁下载:

Red Hat Linux 8.0:

SRPMS:
ftp://updates.redhat.com/8.0/en/os/SRPMS/squirrelmail-1.2.8-1.src.rpm

noarch:
ftp://updates.redhat.com/8.0/en/os/noarch/squirrelmail-1.2.8-1.noarch.rpm

可使用下列命令安装补丁:

rpm -Fvh [文件名]

浏览次数:2741
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障