RHEL 5：squirrelmail (RHSA-2013:0126)

medium Nessus Plugin ID 63409

語系：

概要

遠端 Red Hat 主機缺少安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 5 的更新版 squirrelmail 套件，可修正一個安全性問題和數個錯誤。

Red Hat 安全性回應團隊已將此更新評等為具有低安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

SquirrelMail 是以 PHP 撰寫的標準式 Webmail 套件。

SquirrelMail 安全性更新 RHSA-2012:0103 並未 (未如 erratum 文字所述) 更正 CVE-2010-2813 問題 (SquirrelMail 處理登入失敗嘗試的方式存在瑕疵)。嘗試以內含 8 位元字元之密碼登入時，即便使用者名稱無效，仍會建立使用者喜好設定檔案。遠端攻擊者可利用此瑕疵，最終消耗目標 SquirrelMail 伺服器上的所有硬碟空間。(CVE-2012-2124)

此更新也可修正下列錯誤：

* 在此更新版本之前，SquirrelMail 無法正確解碼多行主旨。因此，解碼標頭國際化選項並未在這些行的開頭正確處理新行或索引標籤。此錯誤已獲得修正，而且 SquirrelMail 目前可在上述狀況下正常運作。
(BZ#241861)

* 由於某個錯誤，以 SquirrelMail 存取時，在 Windows 作業系統上以 HTML 程式碼撰寫的附件並未正確顯示；「!= null」字串刪減為「!ull」。此錯誤已獲得修正，而且該附件目前在此類情況下已可正確顯示。(BZ#359791)

* 之前，使用 SquirrelMail 套件時，無法讀取唯一識別碼 (UID) 大於 2^31 位元組的電子郵件訊息。
透過此修補程式，無論 UID 大小為何，SquirrelMail 套件皆可讀取所有訊息。(BZ#450780)

* 由於存在一個錯誤，PHP 指令碼並未將正確的字元集指派至所要求的變數。因此，SquirrelMail 無法顯示任何電子郵件。基礎原始程式碼已獲得修改，而且 SquirrelMail 套件目前可指派正確的字元集。(BZ#475188)

* 由於 i18n.php 檔案中的錯誤國際化選項，SquirrelMail 套件無法使用 GB 2312 字元集。i18n.php 檔案已獲得修正，而且 GB 2312 字元集可在上述狀況下正常運作。(BZ#508686)

* 之前，preg_split() 函式包含拼錯的常數 (PREG_SPLIT_NI_EMPTY)，可造成 SquirrelMail 產生錯誤訊息。常數名稱已更正為 PREG_SPLIT_NO_EMPTY，SquirrelMail 在此狀況下也不會再產生錯誤訊息。(BZ#528758)

* 由於 Security-Enhanced Linux (SELinux) 設定，無法從 SquirrelMail Web 介面封鎖電子郵件。此更新會新增備註至 SquirrelMail 文件，該文件說明如何設定 SELinux 選項，以允許從 SquirrelMail Web 介面傳送電子郵件。(BZ#745380)

* 之前，SquirrelMail 套件並不符合 RFC 2822 規格的行長度限制。因此，行長度超過 998 個字元的附件，無法使用 SquirrelMail 轉寄。此修補程式會修改基礎原始程式碼，而且 SquirrelMail 目前已如預期符合 RFC 2822 規格。
(BZ#745469)

* 在此更新之前，SquirrelMail 套件在安裝或升級套件期間要求 php-common 指令碼，而非 mod_php 指令碼，進而導致相依性錯誤。因此，無法在使用 php53 套件的系統上嘗試安裝或升級 SquirrelMail 套件。透過此更新，SquirrelMail 套件的相依性已獲得變更，而且目前可在上述狀況下正確進行安裝或升級。(BZ#789353)

建議所有 SquirrelMail 使用者皆升級至此更新版套件，其中包含可更正這些問題的反向移植修補程式。