SquirrelMail软件包会话处理绕过认证漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1183982 漏洞类型 授权问题
发布时间 2009-01-19 更新时间 2009-02-17
CVE编号 CVE-2009-0030 CNNVD-ID CNNVD-200901-266
漏洞平台 N/A CVSS评分 6.5
|漏洞来源
https://www.securityfocus.com/bid/33354
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200901-266
|漏洞详情
SquirrelMail是一款PHP编写的WEBMAIL程序。RedHat为CVE-2008-3663所提供的修复导致SquirrelMail对所有的会话都设置了相同的SQMSESSIDCookie值,这允许通过认证的远程用户通过使用标准的webmail.php接口访问其他用户的文件夹列表和配置数据。
|受影响的产品
S.u.S.E. openSUSE 10.3 Redhat Squirrelmail 1.4.8-5 el4_7.2 Redhat Enterprise Linux WS 4 Redhat Enterprise Linux WS 3 Redhat Enterprise Linux ES 4 Redhat Enterprise Linux
|参考资料

来源:REDHAT
名称:RHSA-2009:0057
链接:https://rhn.redhat.com/errata/RHSA-2009-0057.html
来源:bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=480488
来源:bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=480224
来源:XF
名称:squirrelmail-sessionid-session-hijacking(48115)
链接:http://xforce.iss.net/xforce/xfdb/48115
来源:BID
名称:33354
链接:http://www.securityfocus.com/bid/33354
来源:SECTRACK
名称:1021611
链接:http://securitytracker.com/id?1021611
来源:SECUNIA
名称:33611
链接:http://secunia.com/advisories/33611
来源:SUSE
名称:SUSE-SR:2009:004
链接:http://lists.opensuse.org/opensuse-security-announce/2009-02/msg00002.html