Af Torben B. Sørensen, 26/04/17
Udviklerne af webmailprogrammet SquirrelMail har lukket et sikkerhedshul, som en autentificeret bruger kan udnytte til at afvikle kommandoer.
Sårbarheden findes kun, når SquirrelMail bruger Sendmail til at sende mail med. For at udnytte den skal angriberen være oprettet som bruger på systemet.
Fejlen skyldes manglende inputvalidering.
SquirrelMail til og med version 1.4.22 er sårbar. Man kan køre en sikkerhedsopdatering, der fjerner hullet.
Anbefaling
Kør sikkerhedsrettelsen.
Links
- Arbitrary code execution, SquirrelMail
- Alert: If you're running SquirrelMail, Sendmail... why? And oh yeah, remote code vuln found, artikel fra The Register
- SSD Advisory – SquirrelMail Remote Code Execution