Risque
- Atteinte à l'intégrité des données ;
- atteinte à la confidentialité des données.
Systèmes affectés
Les versions antérieures à la 1.4.16.
Résumé
Une vulnérabilité dans SquirrelMail permet l'interception de cookie de session en clair.
Description
SquirrelMail ne positionne pas correctement l'indicateur (flag) Secure pour les cookies de session https, ce qui les rend vulnérables à une interception.Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Référence CVE CVE-2008-3663 :
https://www.cve.org/CVERecord?id=CVE-2008-3663
- Bulletin de mise à jour Squirrel 1.4.16 du 28 septembre 2008 :
http://www.squirrelmail.org/index.php