検出

Scientific Linux セキュリティ更新:SL5.x の squirrelmail(noarch)

medium Nessus プラグイン ID 63604

Language:

概要

リモート Scientific Linux ホストに、セキュリティ更新がありません。

説明

SquirrelMail セキュリティ更新 SLSA-2012:0103 が、記述されているエラータテキストとは異なり、CVE-2010-2813 の問題、つまり SquirrelMail が失敗したログを処理しようとする方法にある欠陥を、修正していませんでした。8 ビット文字を含んでいるパスワードでログインしようとすると、ユーザー名が有効でなくても、ユーザー設定ファイルが作成されていました。リモートの攻撃者が、この欠陥を利用し、最終的にターゲットの SquirrelMail サーバーのハードディスクの全スペースを消費する可能性があります。(CVE-2012-2124)

この更新は以下のバグも修正します:

- この更新が出る前は、SquirrelMail は複数行の件名を適切に解読できませんでした。その結果、デコードヘッダーの国際化オプションが、行の先頭にある新しい行やタブを適切に処理していませんでした。
 このバグは修正されていて、現在は SquirrelMail は上述のシナリオで適切に動作します。

- バグのため、Windows オペレーティングシステムで HTML コードで書かれた添付ファイルが、SquirrelMail でアクセスされたときには適切に表示されませんでした。「!=null」文字列が「!ull」にトリミングされていました。このバグが修正され、現在は、このような場合でも添付ファイルは適切に表示されます。

- 以前は、一意識別子(UID)が 2^31 バイトより大きいメールメッセージは、squirrelmail パッケージを使用していると読み込めませんでした。このパッチにより、squirrelmail パッケージは、 UID のサイズに関わらず、すべてのメッセージを読み込めるようになりました。

- バグがあるため、PHP スクリプトが、リクエストされた変数に適切な文字セットを割り当てていませんでした。この結果、SquirrelMail はメールをまったく表示できませんでした。下層にあるソースコードが修正され、現在は squirrelmail パッケージは正しい文字セットを割り当てるようになっています。

- i18n.php ファイルにある国際化オプションが適切でないため、squirrelmail パッケージが、GB 2312 文字セットを使用できませんでした。i18n.php ファイルが修正され、上述のシナリオでも GB 2312 文字セットが正しく機能するようになっています。

- 以前は、preg_split() 関数に「PREG_SPLIT_NI_EMPTY」というスペル間違った定数があり、これにより SquirrelMail がエラーメッセージを生成していました。定数の名前が「PREG_SPLIT_NO_EMPTY」と訂正され、このシナリオで SquirrelMail はエラーメッセージを生成しなくなりました。

- Security-Enhanced Linux(SELinux)の設定のため、SquirrelMail の Web インターフェイスからのメール送信がブロックされていました。この更新により、 SquirrelMail の Web インターフェイスからのメール送信を可能にする SELinux オプションの設定方法についての説明が SquirrelMail のドキュメントに追加されました。

- 以前は、squirrelmail パッケージが、行の長さの制限に関する RFC 2822 仕様に適合していませんでした。
 この結果、行が 998 文字より長い添付ファイルを SquirrelMail を使用して転送することができませんでした。
 このパッチにより下層にあるソースコードが変更され、現在は SquirrelMail は予期していた通りに RFC 2822 仕様に適合するようになっています。

- この更新以前では、squirrelmail パッケージが、パッケージのインストールやアップグレードの際に、mod_php スクリプトではなく、php-common スクリプトを要求し、これが依存関係エラーを発生させていました。結果として、php53 パッケージを使用しているシステムで、 squirrelmail パッケージをインストールやアップグレードしようとすると失敗しました。この更新により、squirrelmail パッケージの依存関係が変更され、上述のシナリオでのインストールやアップグレードは現在は正しく動作するようになっています。

ソリューション

影響を受ける squirrelmail パッケージを更新してください。

参考資料

http://www.nessus.org/u?881ef834

プラグインの詳細

深刻度: Medium

ID: 63604

ファイル名: sl_20130108_squirrelmail_on_SL5_x.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2013/1/17

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:fermilab:scientific_linux:squirrelmail, x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2013/1/8

脆弱性公開日: 2010/8/19

参照情報

CVE: CVE-2010-2813, CVE-2012-2124