home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / gentoo_GLSA-200408-02.nasl < prev    next >
Text File  |  2005-03-31  |  3KB  |  70 lines
  1. # This script was automatically generated from 
  2. #  http://www.gentoo.org/security/en/glsa/glsa-200408-02.xml
  3. # It is released under the Nessus Script Licence.
  4. # The messages are release under the Creative Commons - Attribution /
  5. # Share Alike license. See http://creativecommons.org/licenses/by-sa/2.0/
  6. #
  7. # Avisory is copyright 2001-2004 Gentoo Foundation, Inc.
  8. # GLSA2nasl Convertor is copyright 2004 Michel Arboi
  9.  
  10. if (! defined_func('bn_random')) exit(0);
  11.  
  12. if (description)
  13. {
  14.  script_id(14558);
  15.  script_bugtraq_id(10588);
  16.  script_version("$Revision: 1.2 $");
  17.  script_xref(name: "GLSA", value: "200408-02");
  18.  script_cve_id("CAN-2004-0591");
  19.  script_xref(name: "CERT", value: "CA-2000-02");
  20.  
  21.  desc = 'The remote host is affected by the vulnerability described in GLSA-200408-02
  22. (Courier: Cross-site scripting vulnerability in SqWebMail)
  23.  
  24.  
  25.     Luca Legato found that SqWebMail is vulnerable to a cross-site scripting
  26.     (XSS) attack. An XSS attack allows an attacker to insert malicious code
  27.     into a web-based application. SqWebMail doesn\'t filter appropriately data
  28.     coming from message headers before displaying them.
  29.   
  30. Impact
  31.  
  32.     By sending a carefully crafted message, an attacker can inject and execute
  33.     script code in the victim\'s browser window. This allows to modify the
  34.     behaviour of the SqWebMail application, and/or leak session information
  35.     such as cookies to the attacker.
  36.   
  37. Workaround
  38.  
  39.     There is no known workaround at this time. All users are encouraged to
  40.     upgrade to the latest available version of Courier.
  41.   
  42. References:
  43.     http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0591
  44.     http://www.cert.org/advisories/CA-2000-02.html
  45.  
  46.  
  47. Solution: 
  48.     All Courier users should upgrade to the latest version:
  49.     # emerge sync
  50.     # emerge -pv ">=mail-mta/courier-0.45.6.20040618"
  51.     # emerge ">=mail-mta/courier-0.45.6.20040618"
  52.   
  53.  
  54. Risk Factor : Medium
  55. ';
  56.  script_description(english: desc);
  57.  script_copyright(english: "(C) 2004 Michel Arboi");
  58.  script_name(english: "[GLSA-200408-02] Courier: Cross-site scripting vulnerability in SqWebMail");
  59.  script_category(ACT_GATHER_INFO);
  60.  script_family(english: "Gentoo Local Security Checks");
  61.  script_dependencies("ssh_get_info.nasl");
  62.  script_require_keys('Host/Gentoo/qpkg-list');
  63.  script_summary(english: 'Courier: Cross-site scripting vulnerability in SqWebMail');
  64.  exit(0);
  65. }
  66.  
  67. include('qpkg.inc');
  68. if (qpkg_check(package: "mail-mta/courier", unaffected: make_list("ge 0.45.6.20040618"), vulnerable: make_list("le 0.45.6")
  69. )) { security_warning(0); exit(0); }
  70.