kostenlos Registrieren

Navigation
Startseite
Fachbücher
Forum
Webmaster News
Script Newsletter
Kontakt
Script Installation
Php
Php Tutorials
Impressum

Community-Bereich
kostenlos Registrieren
Anmelden
Benutzerliste

Script Datenbank
Script Archiv
Script Top 20
Screenshots
Testberichte

Unsere Php Scripts
Counter Script
Umfrage Script
Bilder Upload Script
Terminverwaltung
Simple PHP Forum
RSS Grabber

Script Mods
phpBB Adsense Mode

Tools und Generatoren
.htpasswd Generator
md5 Generator
base64 Generator
ICQ Generator
Colorpicker
Unix timestamp Tool
TLD Liste
Webkatalog‑Verzeichnis

Partner
Sprüche Treff

Hosterplus.de
Bekommen Sie Speicherplatz (Webspace), Domains und...
https://www.Hosterplus.de

Artfiles.de
Bietet Serviceorientierte Internetdienstleistungen...
https://www.Artfiles.de

Problem bei Webmailers SquirrelMail

Sie befinden sich: Home > Webmaster News

In der Webmail-Applikation SquirrelMail wurden drei Programmierfehler gefunden, die Cross-Site-Scritping-Angriffe (XSS) und die Ausführung von beliebigen IMAP-Befehlen ermöglichen. Dadurch könnte ein Angreifer unter Umständen an vertrauliche Daten gelangen und beliebige Manipulationen an den Postfächern der Anwender vornehmen. Dazu ist es nötig, dass SquirrelMail-Anwender beispielsweise auf speziell präparierte Links in empfangenen E-Mails klicken.

Durch eine nicht ausreichende Filterung des Parameters right_main in der Datei webmail. Php lässt sich beispielsweise beliebiger Javascript-Code in die verlinkten SquirrelMail-Seiten einbetten. Da dieser im Kontext der Seite ausgeführt würde, ließen sich so möglicherweise vertrauliche Daten aus E-Mails und Cookies auslesen.

Ein weiterer Fehler befindet sich in der Funktion sqimap_mailbox_select in der Datei imap_mailbox. php . Durch eine unzureichende Ãœberprüfung des Parameters $mailbox lassen sich beliebige IMAP-Befehle einschleusen, die ungefiltert an den IMAP-Server übermittelt werden. Das Ã–ffnen eines entsprechend manipulierten Links könnte beispielsweise zur Löschung des gesamten Posteingangs führen.

Darüber hinaus begeht SquirrelMail einen Fehler bei der Behandlung von Kommentaren in so genannten Styles, mit denen sich das Erscheinungsbild des Web-Frontends steuern lässt. Hieraus ergeben sich jedoch keine realistischen Angriffsszenarien.

Betroffen von den Fehlern sind alle SquirrelMail-Versionen bis einschließlich dem aktuellen Stable-Release 1.4.5. Die in Kürze erscheinende Version 1.4.6 soll die Fehler beheben. Bis dahin sollten SquirrelMail-Nutzer besondere Vorsicht bei auffällig langen Links auf den eigenen SquirrelMail-Server walten lassen. Die zum Löschen und Manipulieren von E-Mails in die Links eingebetteten IMAP-Befehle lauten beispielsweise SELECT, STORE, EXPUNGE und DELETE.

Alle drei Probleme betreffen nur die Versionen der 1.4er-Serie. SquirrelMail 1.3.x und älter sind laut den Advisories nicht anfällig. Die Entwickler verweisen dort mittlerweile auch auf einen Patch für die IMAP-Lücke.

Eingetragen am 23.02.2006

Letzten Webmaster News

15.04.2024 - PHP schließt kritische Sicherheitslücken in neuesten Releases
03.04.2024 - Beinahe-Einbruch in Millionen Computer durch xz-utils Hack
03.04.2024 - WordPress 6.5 Bringt Revolutionäre Design- und Leistungsverbesserungen...
07.03.2024 - Kritische Sicherheitslücken bei VMWare: Sofortiges Handeln nötig
05.03.2024 - Thunderbird Update 115.8.1: Fehlerbehebungen im Fokus

Alle Webmaster News Anzeigen

Schreib ein Kommentar

Webhosting Service