SquirrelMail软件包会话处理绕过认证漏洞

2009-02-19T00:00:00
ID SSV:4796
Type seebug
Reporter Root
Modified 2009-02-19T00:00:00

Description

BUGTRAQ ID: 33354 CVE(CAN) ID: CVE-2009-0030

SquirrelMail是一款PHP编写的WEBMAIL程序。

Red Hat为CVE-2008-3663所提供的修复导致SquirrelMail对所有的会话都设置了相同的SQMSESSID Cookie值,这允许通过认证的远程用户通过使用标准的webmail.php接口访问其他用户的文件夹列表和配置数据。

SquirrelMail 1.4.8 厂商补丁:

RedHat

RedHat已经为此发布了一个安全公告(RHSA-2009:0057-01)以及相应补丁: RHSA-2009:0057-01:Important: squirrelmail security update 链接:<a href=https://www.redhat.com/support/errata/RHSA-2009-0057.html target=_blank rel=external nofollow>https://www.redhat.com/support/errata/RHSA-2009-0057.html</a>