Workaround verfügbar

Kritische Lücken in SquirrelMail

Die Entwickler der Web-basierten E-Mail-Oberfläche SquirrelMail haben vor vier Schwachstellen gewarnt.

Vier Sicherheitslücken befinden sich derzeit in SquirrelMail 1.x, die mit kritisch eingestuft sind. Sie lassen Umgehung der Sicherheitsrichtlinien und Cross Site Scripting zu. Drei der Schwachstellen hängen mit Eingaben zusammen, die von der Software nicht ausreichend überprüft werden. Lücke Nummer vier könnte mittels Clickjacking das Passwort des Anwenders enthüllen.

Die Sicherheitslücken betreffen Version 1.4.21 und früher. Ein direktes Update gibt es derzeit nicht. Der Hersteller hat die Schwachstellen allerdings schon im SVN-Repository geflickt: squirrelmail.org, squirrelmail.org, squirrelmail.org (jdo)