12.08.2006, 20:44:55
SquirrelMail wurde heute von Version 1.4.6 auf Version 1.4.8 gebracht.
Neben zahlreichen Verbesserungen und Bugfixes wurde eine kürzlich bekanntgewordene Sicherhteitslücke geschlossen, der es am Webmailer angemeldeten Angreifern erlaubte, die zuletzt verfasste E-Mail anderer Nutzer einzusehen und zu manipulieren.
Die Schwachstelle war in einer Funktion der PHP-Software zu finden, die dazu dient, E-Mail-Nachrichten auch nach einem Timeout der Benutzersitzung am Server weiterzuschreiben. Den Entwicklern zufolge konnten angemeldete User durch Ausnutzen der Lücke die Benutzereinstellungen und E-Mail-Anhänge anderer Anwender lesen und schreiben!
Interessierte Nutzer finden die Changelogdatei zu SquirrelMail unter http://www.squirrelmail.org/changelog.php
Neben zahlreichen Verbesserungen und Bugfixes wurde eine kürzlich bekanntgewordene Sicherhteitslücke geschlossen, der es am Webmailer angemeldeten Angreifern erlaubte, die zuletzt verfasste E-Mail anderer Nutzer einzusehen und zu manipulieren.
Die Schwachstelle war in einer Funktion der PHP-Software zu finden, die dazu dient, E-Mail-Nachrichten auch nach einem Timeout der Benutzersitzung am Server weiterzuschreiben. Den Entwicklern zufolge konnten angemeldete User durch Ausnutzen der Lücke die Benutzereinstellungen und E-Mail-Anhänge anderer Anwender lesen und schreiben!
Interessierte Nutzer finden die Changelogdatei zu SquirrelMail unter http://www.squirrelmail.org/changelog.php
Mit freundlichen Grüßen / Best Regards
Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg
Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de
Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg
Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de