Fecha del reporte: 12 de ago de 2010

Paquetes afectados: squirrelmail

Más información: SquirrelMail, una aplicación de webmail, no emplea un marcador exclusivo de usuarios en formularios web. Esto permite a un atacante remoto realizar un ataque de falsificación de solicitudes foráneas (CSRF). Un atacante puede secuestrar la autentificación de víctimas y enviar mensajes o cambiar preferencias de usuarios entre otras acciones, engañando las víctimas para que sigan un enlace controlado por los delincuente.

Adicionalmente una denegación de servicio ha sido arreglada, que podía ser desencadenada cuando una contraseña contiene caracteres de 8-bit fue usada para acceder (CVE-2010-2813).

Para la distribución estable (lenny), estos problemas han sido arreglados en la versión 1.4.15-4+lenny3.1.

Para la distribución de pruebas (squeeze) y la distribución inestable (sid), este problema ha sido arreglado en la versión 1.4.21-1.

Le recomendamos actualizar sus paquetes squirrelmail.

Original (en inglés): http://lists.debian.org/debian-security-announce/2010/msg00136.html