SquirrelMail IMAP登录请求拒绝服务漏洞
出处:绿盟科技 作者:绿盟科技 时间:2010-12-29 11:18:55
发布日期:2010-07-23
更新日期:2010-08-20
受影响系统:
SquirrelMail SquirrelMail <= 1.4.20
不受影响系统:
SquirrelMail SquirrelMail 1.4.21
描述:
BUGTRAQ ID: 42399
CVE ID: CVE-2010-2813
SquirrelMail是一款PHP编写的WEBMAIL程序。
SquirrelMail的functions/imap_general.php函数没有正确的处理口令中的8位字符,远程攻击者通过不同的用户名提交多次IMAP登录尝试就会导致创建大量偏好文件,耗尽磁盘空间。
<*来源:Mikhail Goriachev
链接:https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=618096
http://squirrelmail.org/security/issue/2010-07-23
http://www.debian.org/security/2010/dsa-2091
*>
建议:
厂商补丁:
Debian
------
Debian已经为此发布了一个安全公告(DSA-2091-1)以及相应补丁:
DSA-2091-1:New squirrelmail packages fix cross-site request forgery
链接:http://www.debian.org/security/2010/dsa-2091
补丁下载:
Source archives:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1.diff.gz
Size/MD5 checksum: 34647 2251562662703a0d8e4f0de309ca60a6
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15.orig.tar.gz
Size/MD5 checksum: 621320 87b466fef98e770307afffd75fe25589
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1.dsc
Size/MD5 checksum: 1240 a4e2ab21379259946f02a1d30831fe6d
Architecture independent packages:
http://security.debian.org/pool/updates/main/s/squirrelmail/squirrelmail_1.4.15-4+lenny3.1_all.deb
Size/MD5 checksum: 615152 d08549fd86ffec2ae16b36e358f50cd6
补丁安装方法:
1. 手工安装补丁包:
首先,使用下面的命令来下载补丁软件:
# wget url (url是补丁下载链接地址)
然后,使用下面的命令来安装补丁:
# dpkg -i file.deb (file是相应的补丁名)
2. 使用apt-get自动安装补丁包:
首先,使用下面的命令更新内部数据库:
# apt-get update
然后,使用下面的命令安装更新软件包:
# apt-get upgrade
SquirrelMail
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://squirrelmail.svn.sourceforge.net/viewvc/squirrelmail/branches/SM-1_4-STABLE/squirrelmail/functions/imap_general.php?view=patch&r1=13972&r2=13971&pathrev=13972