12.08.2006, 20:44:55
SquirrelMail wurde heute von Version 1.4.6 auf Version 1.4.8 gebracht.
Neben zahlreichen Verbesserungen und Bugfixes wurde eine kürzlich bekanntgewordene Sicherhteitslücke geschlossen, der es am Webmailer angemeldeten Angreifern erlaubte, die zuletzt verfasste E-Mail anderer Nutzer einzusehen und zu manipulieren.
Die Schwachstelle war in einer Funktion der PHP-Software zu finden, die dazu dient, E-Mail-Nachrichten auch nach einem Timeout der Benutzersitzung am Server weiterzuschreiben. Den Entwicklern zufolge konnten angemeldete User durch Ausnutzen der Lücke die Benutzereinstellungen und E-Mail-Anhänge anderer Anwender lesen und schreiben!
Interessierte Nutzer finden die Changelogdatei zu SquirrelMail unter http://www.squirrelmail.org/changelog.php
Neben zahlreichen Verbesserungen und Bugfixes wurde eine kürzlich bekanntgewordene Sicherhteitslücke geschlossen, der es am Webmailer angemeldeten Angreifern erlaubte, die zuletzt verfasste E-Mail anderer Nutzer einzusehen und zu manipulieren.
Die Schwachstelle war in einer Funktion der PHP-Software zu finden, die dazu dient, E-Mail-Nachrichten auch nach einem Timeout der Benutzersitzung am Server weiterzuschreiben. Den Entwicklern zufolge konnten angemeldete User durch Ausnutzen der Lücke die Benutzereinstellungen und E-Mail-Anhänge anderer Anwender lesen und schreiben!
Interessierte Nutzer finden die Changelogdatei zu SquirrelMail unter http://www.squirrelmail.org/changelog.php