[[CentOS 4 パッケージ更新・エラータ・セキュリティ情報]] #contents ---- * Errata [#xd50f09f] CentOS エラータ、および Security Advisory CESA-2007:0022 CentOS 4 i386 向けの fetchmail セキュリティ・アップデート:&br; https://rhn.redhat.com/errata/RHSA-2007-0022.html 上記の問題に対処する更新ファイル群は既にアップロードされています。&br; 各 CentOS ミラーサイトよりダウンロードすることができます: i386: squirrelmail-1.4.8-4.el4.noarch.rpm src: squirrelmail-1.4.8-4.el4.src.rpm ---- - [CentOS-announce] CESA-2007:0022 Moderate CentOS 4 i386 squirrelmail - security update --http://lists.centos.org/pipermail/centos-announce/2007-February/013501.html * Errata 日本語概要 (Red Hat 社公開文章参考) [#vcbff47f] ** Red Hat 社の勧告 [#x08bf0b7] - Advisory: RHSA-2007:0022-3 - 種別:セキュリティに対する助言 - 重要度:中程度 - 日時:2007-01-31 ** 詳細について [#m54196ff] SquirrelMail は PHP で記述されたウェブメールの為の基本システムです。 SquirrelMail 上に複数のクロス・サイト・スクリプティング(XSS)脆弱性が見つかりました。攻撃者は巧みにユーザを特定の URL に誘導させることにより、SquiirelMail で表示されるページ上に任意の JavaScript の実行や HTML 文章の挿入が出来ます(CVE-2006-6142)。なお、バージョンアップ後に更新版の SquirreMail が正常動作するように httpd サービスの再起動が推奨されています。設定変更時には config.php は変更せず、config_local.php を修正してください。 周知のバグとして、config.php 生成スクリプトには適切でないスクリプトを作成してしまう場合もあります。対策として、設定の変更を行う場合は直接 config_local.php ファイルの編集が推奨されています。 SquirrelMail を利用している全ユーザは、これら被害を受けにくくするためにパッチをあてて対応するかパッケージ群を更新して問題に対処する事を推奨します。 - https://rhn.redhat.com/errata/RHSA-2007-0022.html ---- ※免責:翻訳については原文との完全な同一性を保証するものではありません。