- Fecha de Liberación:
3-May-2006
- Ultima Revisión:
8-May-2006
- Fuente:
Red Hat Security Response Team
- CVE ID:
CVE-2006-0188
CVE-2006-0195
CVE-2006-0377
- Riesgo
Moderado
- Problema de Vulnerabilidad
Remoto
- Tipo de Vulnerabilidad
Múltiples vulnerabilidades
Sistemas Afectados
RedHat Desktop 3 |
SquirrelMail |
<
|
1.4.6 |
RedHat Desktop 4 |
SquirrelMail |
<
|
1.4.6 |
RedHat Enterprise Linux AS 3 |
SquirrelMail |
<
|
1.4.6 |
RedHat Enterprise Linux ES 3 |
SquirrelMail |
<
|
1.4.6 |
RedHat Enterprise Linux ES 4 |
SquirrelMail |
<
|
1.4.6 |
RedHat Enterprise Linux WS 3 |
SquirrelMail |
<
|
1.4.6 |
-
Descripción
El equipo de respuesta a incidentes de Red Hat liberó un parche para corregir 3 huecos de seguridad y otros errores detectados en squirrelmail 1.4.6.
Esta actualización contiene mejoras adicionales para soporte de lenguaje internacional.
-
Impacto
Un defecto se encontro en la forma en que presenta su estructura SquirelMail al usuario. Si un usuario puede ser engañado abriendo una URL personalizada, puede ser posible que presente al usuario información HTML arbitraria(CVE-2006-0188)
Un defecto se encontró en la forma que SquirrelMail filtra los correos HMTL entrantes. Es posible causar al navegador de la víctima que solicite contenido remoto abriendo un email HTML mientras que corre un navegador ese proceso ciertos tipos de hojas de estilo inválidas. Sólo Internet Explorer es conocido que procesa dichas hojas de estilo malformadas.(CVE-2006-0195).
Un defecto fue encontrado en la forma que SquirrelMail procesa una solicitud para seleccionar un buzón IMAP. Si un usuario puede ser engañado de abrir una dirección URL personalizada, es posible ejecutar comandos IMAP arbitrarios mientras el usuario ve su email con SquirrelMail.(CVE-2006-0377).
-
Solución
Usuarios de SquirrelMail son advertidos que para que actualicen a este paquete que contiene la versión 1.4.6 de SquirrelMail y no es vulnerable a dichas fallas.
Antes de aplicar esta acualización, asegúresee de contar con todas las actualizaciones releveantes en el sistema.
Esta actualización está disponible vía la red de Red Hat. Para usar la red de Red Hat ejecute el siguiente comando:
up2date
Esto inciará un proceso interactivo que resultará que los RPMS apropiados sean actualizados en su sistema.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en
la elaboración ó traducción y revisión de éste Documento a:
- Edgar Rios Clemente (erios at seguridad dot unam dot mx)
- Alejandro Nuñez Sandoval (anunez at seguridad dot unam dot mx)
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47