安全研究
安全漏洞
SquirrelMail对恶意HTML格式邮件处理的漏洞
发布日期:2002-01-24
更新日期:2002-01-25
受影响系统:SquirrelMail SquirrelMail 1.2.2
- Unix系统
不受影响系统:SquirrelMail SquirrelMail 1.2.3
描述:
BUGTRAQ ID:
3956
CVE(CAN) ID:
CVE-2002-1648
SquirrelMail是一个用php4写的功能丰富的webmail程序。可以运行于Linux/Unix系统。
在某些SquirrelMail版本中,如果HTML格式的邮件中包含恶意内容的代码,如插入JavaScript脚本,可以导致脚本代码被执行。也可能包含其他相关SquirrelMail脚本的引用,可能导致以认证用户的身份进行恶意行为操作。
脚本compose.php在受影响用户发新邮件时存在此安全漏洞。
<*来源:Tom McAdam (
tomc@future-i.com)
链接:
http://archives.neohapsis.com/archives/bugtraq/2002-01/0310.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 暂时停止使用SquirrelMail。
厂商补丁:
SquirrelMail
------------
目前厂商已经发布了1.2.3版本以修复这个安全问题,请到厂商的主页下载:
http://www.squirrelmail.org浏览次数:3094
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |