English

◀◁ 뒤로 취약점ID 21961 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 SquirrelMail 패키지는 compose.php 스크립트를 통한 임의의 변수 덮어쓰기 취약점에 취약하다. SquirrelMail은 PHP4로 제작된 웹 기반의 메일 시스템이다. SquirrelMail 1.4.0에서 1.4.7까지의 버전들은 '/src/compose.php' 스크립트에 대한 GET 요청으로 전달된 만료된 세션의 부주의한 처리로 인하여 임의의 변수 덮어쓰기 취약점에 취약하다. 원격지 공격자는 민감한 정보를 획득하거나 다른 사용자의 속성이나 이메일 첨부 파일들을 읽고 쓰는 것으로 이 취약점을 도용할 수 있다. * 알림: 이 점검항목은 점검을 위해 원격지 웹 메일 서버에 로그인할 수 있는 계정을 필요로 한다. 이러한 조건이 안되면 점검을 수행할 수 없으며 모든 취약한 호스트들에 대해서 거짓 음성반응(False Negative)을 보일 수 있다. * 참고 사이트: http://www.squirrelmail.org/security/issue/2006-08-11 http://www.squirrelmail.org/patches/sqm1.4.7-expired-post-fix-full.patch http://www.gulftech.org/?node=research&article_id=00108-08112006 http://secunia.com/advisories/21354 * 영향을 받는 플랫폼: SquirrelMail Project Team, SquirrelMail 1.4.0에서 1.4.7까지의 버전들 모든 운영체제 모든 버전들 해결책 SquirrelMail의 다운로드 웹 페이지인 http://www.squirrelmail.org/download.php 에서 구할 수 있는 SquirrelMail의 가장 최신 버전(1.4.8 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2006-4019 (CVE) 관련 URL 19486 (SecurityFocus) 관련 URL 28365 (ISS)