BUGTRAQ ID: 31321
CVE ID:CVE-2008-3663
CNCVE ID:CNCVE-20083663
SquirrelMail是一款基于PHP的WEB邮件服务程序。
SquirrelMail不安全处理COOKIE数据,远程攻击者可以利用漏洞获得敏感信息,窃取COOKIE验证敏感条文,进行会话劫持攻击。
当配置WEB应用程序只使用SSL时(如转向所有HTTP请求到HTTPS),用户可以不能通过嗅探来进行截获。
要因此变的更安全,需要设置会话COOKIE标有安全标记,否则如果目标用户浏览器在同一域上只进行单个HTTP请求,COOKIE会通过HTTP传送。
Squirrelmail没有设置此标记,可导致通过HTTP传送的COOKIE被嗅探到。
SquirrelMail 1.4.15
根据报告Squirrelmail 1.5 test版本已经修正此漏洞:
<a href=“http://www.squirrelmail.org/” target=“_blank”>http://www.squirrelmail.org/</a>