SquirrelMail对恶意HTML格式邮件处理的漏洞

漏洞信息详情

SquirrelMail对恶意HTML格式邮件处理的漏洞

• CNNVD编号：CNNVD-200212-284
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1649
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-01-24
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  squirrelmail
• 漏洞来源：
  Tom McAdam※ tomc@f…

SquirrelMail是一个用php4写的功能丰富的webmail程序。可以运行于Linux/Unix系统。
在某些SquirrelMail版本中，如果HTML格式的邮件中包含恶意内容的代码，如插入JavaScript脚本，可以导致脚本代码被执行。也可能包含其他相关SquirrelMail脚本的引用，可能导致以认证用户的身份进行恶意行为操作。
脚本compose.php在受影响用户发新邮件时存在此安全漏洞。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时停止使用SquirrelMail。
厂商补丁：
SquirrelMail
————
目前厂商已经发布了1.2.3版本以修复这个安全问题，请到厂商的主页下载：

http://www.squirrelmail.org” target=”_blank”>
http://www.squirrelmail.org

来源:US-CERT Vulnerability Note: VU#153043
名称: VU#153043
链接:http://www.kb.cert.org/vuls/id/153043

来源: XF
名称: squirrelmail-html-execute-script(7989)
链接:http://xforce.iss.net/xforce/xfdb/7989

来源: BID
名称: 3956
链接:http://www.securityfocus.com/bid/3956

来源: BUGTRAQ
名称: 20020124 Vulnerabilities in squirrelmail
链接:http://archives.neohapsis.com/archives/bugtraq/2002-01/0310.html

来源：NSFOCUS
名称：2210
链接：http://www.nsfocus.net/vulndb/2210