Scientific Linux 安全性更新：SL5.x 上的 squirrelmail (noarch)

medium Nessus Plugin ID 63604

語系：

概要

遠端 Scientific Linux 主機缺少一個安全性更新。

說明

SquirrelMail 安全性更新 SLSA-2012:0103 並未 (未如 erratum 文字所述) 更正 CVE-2010-2813 問題 (SquirrelMail 處理登入失敗嘗試的方式存在瑕疵)。嘗試以內含 8 位元字元之密碼登入時，即便使用者名稱無效，仍會建立使用者喜好設定檔案。遠端攻擊者可利用此瑕疵，最終消耗目標 SquirrelMail 伺服器上的所有硬碟空間。(CVE-2012-2124)

此更新也可修正下列錯誤：

- 在此更新之前，SquirrelMail 無法正確解碼多行主旨。因此，解碼標頭國際化選項並未在這些行的開頭正確處理新行或索引標籤。
此錯誤已獲得修正，而且 SquirrelMail 目前可在上述狀況下正常運作。

- 由於存在一個錯誤，以 SquirrelMail 存取時，Windows 作業系統上以 HTML 程式碼撰寫的附件並未正確顯示；'!=null' 字串刪減為 '!ull'。此錯誤已獲得修正，而且該附件目前在此類情況下已可正確顯示。

- 之前，使用 squirrelmail 套件時，無法讀取唯一識別碼 (UID) 大於 2^31 位元組的電子郵件訊息。透過此修補程式，無論 UID 大小為何，SquirrelMail 套件皆可讀取所有訊息。

- 由於存在一個錯誤，PHP 指令碼並未將正確的字元集指派給所要求的變數。因此，SquirrelMail 無法顯示任何電子郵件。基礎原始程式碼已獲得修改，而且 SquirrelMail 套件目前可指派正確的字元集。

- 由於 i18n.php 檔案中的錯誤國際化選項，squirrelmail 套件無法使用 GB 2312 字元集。i18n.php 檔案已獲得修正，而且 GB 2312 字元集可在上述狀況下正常運作。

- 之前，preg_split() 函式包含拼錯的常數 (PREG_SPLIT_NI_EMPTY)，可造成 SquirrelMail 產生錯誤訊息。常數名稱已更正為 PREG_SPLIT_NO_EMPTY，SquirrelMail 在此狀況下也不會再產生錯誤訊息。

- 由於 Security-Enhanced Linux (SELinux) 設定，從 SquirrelMail Web 介面傳送電子郵件的功能遭封鎖。此更新會新增備註至 SquirrelMail 文件，該文件說明如何設定 SELinux 選項，以允許從 SquirrelMail Web 介面傳送電子郵件。

* 之前，squirrelmail 套件並不符合 RFC 2822 規格的行長度限制。
因此，行長度超過 998 個字元的附件，無法使用 SquirrelMail 轉寄。
此修補程式會修改基礎原始程式碼，而且 SquirrelMail 目前已如預期符合 RFC 2822 規格。

- 在此更新之前，squirrelmail 套件在安裝或升級套件期間要求 php-common 指令碼，而非 mod_php 指令碼，進而導致相依性錯誤。因此，無法在使用 php53 套件的系統上嘗試安裝或升級 SquirrelMail 套件。透過此更新，SquirrelMail 套件的相依性已獲得變更，而且目前可在上述狀況下正確進行安裝或升級。