Scientific Linux 安全更新:SL3.x、SL4.x、SL5.x i386/x86_64 中的 squirrelmail
medium Nessus 插件 ID 60590
语言:
简介
远程 Scientific Linux 主机缺少安全更新。描述
在 SquirrelMail 的 'map_yp_alias' 函数中发现服务器端的代码注入缺陷。如果 SquirrelMail 被配置为通过 'map_yp_alias' 函数从网络信息服务 (NIS) 检索用户的 IMAP 服务器地址,则未经认证的远程攻击者可使用特别构建的用户名,利用此缺陷以 Web 服务器的权限执行任意代码。(CVE-2009-1579)
在 SquirrelMail 中发现多种跨站脚本 (XSS) 缺陷。
攻击者可构造精心构建的 URL,当毫无防范的用户访问此 URL 时,可导致用户的 Web 浏览器执行所访问 SquirrelMail 网页的上下文中的恶意脚本。(CVE-2009-1578)
已发现 SquirrelMail 未对 HTML 邮件中的层叠样式表 (CSS) 指令进行足够的审查。远程攻击者可发送特别构建的电子邮件,使邮件内容不受 SquirrelMail 控制,从而可能进行钓鱼攻击和跨站脚本攻击。(CVE-2009-1581)
解决方案
更新受影响的 squirrelmail 程序包。另见
插件详情
严重性: Medium
ID: 60590
文件名: sl_20090526_squirrelmail_on_SL3_x.nasl
版本: 1.7
类型: local
代理: unix
发布时间: 2012/8/1
最近更新时间: 2021/1/14
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: Medium
基本分数: 6.8
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
漏洞信息
CPE: x-cpe:/o:fermilab:scientific_linux
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2009/5/26
可利用的方式
Core Impact