Oracle Linux 3 / 4 / 5：squirrelmail (ELSA-2009-0010)

medium Nessus 插件 ID 67786

语言：

简介

远程 Oracle Linux 主机缺少安全更新。

描述

来自 Red Hat 安全公告 2009:0010：

更新后的 squirrelmail 程序包解决了多个安全问题，现在可用于 Red Hat Enterprise Linux 3、4 和 5。

Red Hat 安全响应团队将此更新评级为具有中等安全影响。

SquirrelMail 是以 PHP 编写的 webmail 程序包，配置简便，以标准为基础。它内置对 IMAP 和 SMTP 协议的 PHP 支持，并包括纯 HTML 4.0 页渲染（无需 JavaScript），可实现最大的浏览器兼容性、强大的 MIME 支持、通讯簿及文件夹操作。

Ivan Markovic 发现 HTML 邮件审查不充分造成的 SquirrelMail 中存在跨站脚本 (XSS) 缺陷。远程攻击者可发送特别构建的 HTML 邮件或附件，当用户打开该电子邮件或附件时，可能会导致用户 Web 浏览器在 SquirrelMail 会话上下文中运行恶意脚本。(CVE-2008-2379)

已发现 SquirrelMail 允许不安全的连接上存在 Cookie （即未将 Cookie 限制于 HTTPS 连接）。当用户向服务器发出 HTTP 请求时，如果攻击者控制着用户与 SquirrelMail 服务器之间的通信通道或能够嗅探用户网络通信，则可利用此缺陷获取用户的会话 Cookie。(CVE-2008-3663)

注意：应用此更新后，为在 HTTPS 连接上发起的 SquirrelMail 会话设置的所有会话 Cookie 将具有“secure”标记集。也就是说，浏览器将仅通过 HTTPS 连接发送这些 Cookie。如有必要，可通过在 SquirrelMail 的 /etc/squirrelmail/config.php 配置文件中，将配置选项“$only_secure_cookies”设为“false”，恢复到之前的行为。

squirrelmail 用户应升级此更新后的程序包，其中包含用于修正这些问题的向后移植的修补程序。