 |
  |
|
| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 | | ||||
 |
|
|||||||
|
||||||||
|
|||||
| SquirrelMail多个安全漏洞 | |||||
作者:未知 文章来源:http://www.nsfocus.net/ 点击数: 更新时间:2005-2-14  |
|||||
|
受影响系统: SquirrelMail SquirrelMail 不受影响系统: SquirrelMail SquirrelMail 1.4.4 描述: -------------------------------------------------------------------------------- BUGTRAQ ID: 12337 CVE(CAN) ID: CAN-2005-0103,CAN-2005-0104,CAN-2004-1036 SquirrelMail是一款流行的基于WEB的邮件服务程序。 SquirrelMail存在多个安全问题,远程攻击者可以利用这些漏洞包含任意文件,进行跨站脚本等攻击。 1、远程文件包含: Manoel Zaninetti包含'src/webmail.php'脚本允许构建恶意URL包含远程WEB页面,此CVE ID为CAN-2005-0103。 2、远程跨站脚本问题 当register_globals以ON设置运行时'src/webmail.php'脚本存在跨站脚本问题,此漏洞CVE ID为CAN-2005-0104。 另外一个问题也允许远程用户发送特殊构建的头,当浏览器浏览时可导致在浏览器中执行脚本,在1.4.4-RC1中已经修复。此漏洞CVE ID为CAN-2004-1036。 3、本地文件包含漏洞 可定义偏爱处理程序中存在一个本地文件包含问题,此漏洞只要当register_globals设置为ON时才存在。 <*来源:Jonathan Angliss (jon@squirrelmail.org) 链接:http://security.gentoo.org/glsa/glsa-200501-39.xml *> 建议: -------------------------------------------------------------------------------- 厂商补丁: SquirrelMail ------------ 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.squirrelmail.org/download.php?PHPSESSID=8e03a7fc46911de66708fc2eefa26fe1 |
|||||
| 文章录入:IceRiver 责任编辑:IceRiver | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
| 最新热点 | 最新推荐 | 相关文章 | ||
| 活地运用SQL Injection做数据 数据库安全应用 使用MySQL的 MSSQL数据库SA权限入侵的感悟 XSS跨站脚本及SQL注入漏洞技 开源MySQL停止提供企业版源代 苹果修补七处Quick Time漏洞 打造SQL Server2000的安全策 堵死网站被SQL注入的隐患 browseui - browseui.dll - 赛门铁克:QuickTime、WinZi |
 网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!) |
 |
|
| 关于我们 - 版权声明 - 帮助(?) - 广告服务 - 联系我们 - 友情链接 - 用户注册 - | Powered by ICE RIVER - STUDIO |
|
|
| » CnXHacker.CoM |  |
© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved. |
