Oracle Linux 3/4/5：squirrelmail（ELSA-2009-0010）

medium Nessus プラグイン ID 67786

Language:

概要

リモート Oracle Linux ホストにセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2009:0010 から：

さまざまなセキュリティ問題を解決する更新済みの squirrelmail パッケージが、Red Hat Enterprise Linux 3、4 および 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。

SquirrelMail は PHP で書かれた、構成が簡単な標準ベースの Webmail パッケージです。このパッケージには、IMAP および SMTP プロトコルに対する埋め込み式 PHP のサポート、およびピュアな HTML 4.0 ページレンダリング（JavaScript 不要）が含まれ、最高のブラウザ互換性、優れた MIME サポート、アドレス帳、およびフォルダー操作を実現します。

Ivan Markovic 氏は、 HTML メールのサニタイズが不充分なため引き起こされる SquirrelMail のクロスサイトスクリプティング（XSS）の欠陥を発見しました。リモートの攻撃者が、特別に細工された HTML メールまたは添付ファイルを送信し、ユーザーが開いたときに SquirrelMail セッションのコンテキストでユーザーの Web ブラウザに悪意のあるスクリプトを実行させることが可能です。(CVE-2008-2379)

SquirrelMail が、安全でない接続のクッキーを許可する（つまり、HTTPS 接続へのクッキーを制限しない）ことが判明しました。ユーザーと SquirrelMail サーバーの間の通信チャネルをコントロールしているか、ユーザーのネットワーク通信を傍受できる攻撃者が、この欠陥を利用して、ユーザーがサーバーに HTTP リクエストを送信した場合に、ユーザーのセッションクッキーを取得することが可能です。(CVE-2008-3663)

注：この更新の適用後、HTTPS 接続で開始された SquirrelMail セッションに対して設定されるすべてのセッションクッキーには、「secure」フラグが設定されます。つまり、ブラウザからは HTTPS 接続のクッキーのみが送信されます。必要な場合は、前の挙動に戻すことができます。この場合は、SquirrelMail の /etc/squirrelmail/config.php 構成ファイルで構成オプション「$only_secure_cookies」を「false」に設定します。

squirrelmail のユーザーは、バックポートされたパッチが含まれるこの更新済みパッケージにアップグレードし、これらの問題を修正する必要があります。