SquirrelMail lukker sikkerhedshul

Udviklerne af webmailprogrammet SquirrelMail har lukket et sikkerhedshul, som en autentificeret bruger kan udnytte til at afvikle kommandoer.

Sårbarheden findes kun, når SquirrelMail bruger Sendmail til at sende mail med. For at udnytte den skal angriberen være oprettet som bruger på systemet.

Fejlen skyldes manglende inputvalidering.

SquirrelMail til og med version 1.4.22 er sårbar. Man kan køre en sikkerhedsopdatering, der fjerner hullet.

Anbefaling

Kør sikkerhedsrettelsen.

Links