Hlavní navigace

Squirrelmail 1.4.22 je vzdáleně zranitelný, oprava zatím neexistuje

Sdílet

Petr Krčmář 26. 4. 2017

Webmailové rozhraní Squirrelmail je v nejnovější verzi 1.4.22 (a starších) zranitelné vůči vzdálenému spuštění kódu. Chyba je označena jako CVE-2017–7692 a dovoluje útočníkovi spouštět na serveru vlastní příkazy a tím ovládnout cílový systém. Chybu objevil bezpečnostní analytik Dawid Golunski.

Přestože byli o problému vývojáři informováni už v lednu, zatím chybu neopravili a není jasné, zda a kdy se tak stane. Chyba se projevuje jen v případě, že je pro transport pošty v systému používán Sendmail. Nedostatečné escapování uživatelských dat pak vede k předání vlastních příkazů.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 26. 4. 2017 8:37

    Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----

    zatím chybu neopravili a není jasné, zda a kdy se tak stane.

    Předpokládat, že někdo něco upraví u totální mrtvoly s posledním releasem v roce 2011 je opravdu optimismus. :

  • 26. 4. 2017 9:40

    Jozinzbazin (neregistrovaný) ---.cust.nbox.cz

    Tak uplne mrtvola to neni. Commity tam prichazeji soustavne. Nekolik za mesic.
    https://sourceforge.net/p/squirrelmail/code/commit_browser
    Neni to nic bourliveho, ale stale se na tom (pomalu) dela. Jen nove verze se nejak nevydavaji vubec

  • 26. 4. 2017 10:32

    ES (neregistrovaný) 94.230.155.---

    Pokud se dobre divam tak oprava tak uz je