S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 25 juillet 2011
N° CERTA-2011-AVI-410
Affaire suivie par: CERT-FR
le 25 juillet 2011

Avis du CERT-FR

Objet: Vulnérabilités dans SquirrelMail

Gestion du document

Référence CERTA-2011-AVI-410
Titre Vulnérabilités dans SquirrelMail
Date de la première version 25 juillet 2011
Date de la dernière version 25 juillet 2011
Source(s) Bulletin de sécurité Fedora Fedora-2011-9309 du 13 juillet 2011
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Atteinte à la confidentialité des données ;
  • injection de code indirecte à distance.

Systèmes affectés

SquirrelMail 1.x.x versions antérieures à 1.4.21.

Résumé

Plusieurs vulnérabilités autorisant une personne malintentionnée à injecter indirectement du code arbitraire à distance et à obtenir des informations sensibles ont été découvertes dans SquirrelMail.

Description

Plusieurs vulnérabilités affectent SquirrelMail. Trois d'entre elles autorisent une personne malintentionnée à injecter indirectement du code à distance :

  • CVE-2010-4554 et CVE-2011-2753 : de multiples erreurs autorisent l'injection de script ou de code HTML à distance via différents vecteurs : les boîtes de dialogue déroulantes, le plugin de correction orthographique SquirellSpell, la page Index Order et la fonction empty trash.
  • CVE-2011-2023 : le script functions/mime.php ne gère pas correctement certaines balises de style autorisant ainsi une injection de script ou de code HTML ;
La dernière vulnérabilité (CVE-2010-4554) permet à une personne malveillante d'accéder à des données sensibles de l'utilisateur (telles que son mot de passe) via un vol de clic (clickjacking).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 25 juillet 2011
    version initiale.