Sistemas Afectados

1. Descripción

   El equipo de respuesta a incidentes de Red Hat liberó un parche para corregir 3 huecos de seguridad y otros errores detectados en squirrelmail 1.4.6.
   Esta actualización contiene mejoras adicionales para soporte de lenguaje internacional.
   

2. Impacto

   Un defecto se encontro en la forma en que presenta su estructura SquirelMail al usuario. Si un usuario puede ser engañado abriendo una URL personalizada, puede ser posible que presente al usuario información HTML arbitraria(CVE-2006-0188)
   Un defecto se encontró en la forma que SquirrelMail filtra los correos HMTL entrantes. Es posible causar al navegador de la víctima que solicite contenido remoto abriendo un email HTML mientras que corre un navegador ese proceso ciertos tipos de hojas de estilo inválidas. Sólo Internet Explorer es conocido que procesa dichas hojas de estilo malformadas.(CVE-2006-0195).
   Un defecto fue encontrado en la forma que SquirrelMail procesa una solicitud para seleccionar un buzón IMAP. Si un usuario puede ser engañado de abrir una dirección URL personalizada, es posible ejecutar comandos IMAP arbitrarios mientras el usuario ve su email con SquirrelMail.(CVE-2006-0377).

3. Solución

   Usuarios de SquirrelMail son advertidos que para que actualicen a este paquete que contiene la versión 1.4.6 de SquirrelMail y no es vulnerable a dichas fallas.
   Antes de aplicar esta acualización, asegúresee de contar con todas las actualizaciones releveantes en el sistema.
   Esta actualización está disponible vía la red de Red Hat. Para usar la red de Red Hat ejecute el siguiente comando:
   up2date
   Esto inciará un proceso interactivo que resultará que los RPMS apropiados sean actualizados en su sistema.

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Edgar Rios Clemente (erios at seguridad dot unam dot mx)
• Alejandro Nuñez Sandoval (anunez at seguridad dot unam dot mx)