CentOS 5：squirrelmail (CESA-2013:0126)

medium Nessus 插件 ID 63571

语言：

简介

远程 CentOS 主机缺少安全更新。

描述

更新后的 squirrelmail 程序包修复了一个安全问题和多个缺陷，现在可用于 Red Hat Enterprise Linux 5。

Red Hat 安全响应团队将此更新评级为具有低危安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

SquirrelMail 是以 PHP 编写的标准 webmail 程序包。

SquirrelMail 安全更新 RHSA-2012:0103 未能如勘误表文本所声明纠正 CVE-2010-2813 问题，SquirrelMail 处理失败登录尝试的方式存在缺陷。尝试通过包含 8 位字符的密码登录时，即使用户名无效，也会创建用户首选项文件。远程攻击者可利用该缺陷最终消耗目标 SquirrelMail 服务器上的所有硬盘空间。(CVE-2012-2124)

此更新还修复以下缺陷：

*在此更新之前，SquirrelMail 不能正确地解码多行主题。结果，解码标头国际化选项未能正确地处理新行或行开头的制表符。此缺陷已修复，SquirrelMail 现在能够正确地在所述情况中运行。
(BZ#241861)

* 由于存在漏洞，当通过 SquirrelMail 访问时，Windows 操作系统中以 HTML 代码编写的附件不能正确显示；“!= null”字符串被裁剪为“!ull”。此缺陷已修复，附件现在能够在这种情况下正确显示。(BZ#359791)

* 以前，使用 squirrelmail 程序包时，唯一标识符 (UID) 大于 2^31 字节的电子邮件消息无法读取。
通过该修补程序，squirrelmail 程序包能够读取任何 UID 大小的所有消息。(BZ#450780)

* 由于存在漏洞，PHP 脚本不能将正确的字符集分配到请求变量。结果，SquirrelMail 不能显示任何电子邮件。已修改底层源代码，现在 squirrelmail 程序包可分配正确的字符集。(BZ#475188)

* 由于位于 i18n.php 文件中的国际化选项不正确，squirrelmail 程序包不能使用 GB 2312 字符集。已修复 i18n.php 文件，GB 2312 字符集可在所述情况下正确运行。(BZ#508686)

* 以前，preg_split() 函数包含拼写错误的常量 PREG_SPLIT_NI_EMPTY，可导致 SquirrelMail 生成错误消息。常量的名称已修正为 PREG_SPLIT_NO_EMPTY，SquirrelMail 不再在这种情况下生成错误消息。(BZ#528758)

* 由于安全增强型 Linux (SELinux) 设置，从 SquirrelMail Web 接口发送电子邮件将被阻止。此更新向 SquirrelMail 文档添加了一个注释，描述了如何设置 SELinux 选项才能允许从 SquirrelMail Web 接口发送电子邮件。(BZ#745380)

* 以前，squirrelmail 程序包不符合关于行长度限制的 RFC 2822 规范。结果，不能使用 SquirrelMail 转发行长度大于 998 字符的附件。该修补程序修改了底层源代码，现在 SquirrelMail 按预期符合 RFC 2822 规范。
(BZ#745469)

* 在此更新之前，squirrelmail 程序包在安装或升级程序包时，需要 php-common 脚本而不是 mod_php 脚本，从而导致依存关系错误。因此，系统尝试使用 php53 程序包安装或升级 squirrelmail 程序包失败。通过此更新，已更改 squirrelmail 程序包的依存关系，现在安装或升级能够在描述情况下正确运行。(BZ#789353)

建议所有 SquirrelMail 用户升级此更新后的程序包，其中包含用于修正这些问题的向后移植的修补程序。