Er bevindt zich een ernstig beveiligingslek in de webmailsoftware SquirrelMail waardoor een aanvaller op afstand de server waar de applicatie op draait kan overnemen. Er is nog geen update beschikbaar. De software blijkt gebruikersinvoer niet goed te "escapen" als Sendmail wordt gebruikt voor het versturen van mail. Een aanvaller die over inloggegevens beschikt kan hiervan misbruik maken en het systeem waarop SquirrelMail draait compromitteren.

"Een succesvolle aanval geeft een remote aanvaller toegang tot de aangevallen server in de context van het webserveraccount dat tot een volledige compromittering van de webapplicatie kan leiden", aldus onderzoeker Dawid Golunski. Hij waarschuwde de SquirrelMail-ontwikkelaars al op 4 januari van dit jaar. Het ontwikkelteam vroeg Golunski vanwege privéredenen om meer tijd. Een andere onderzoeker ontdekte het probleem echter ook en maakte het deze maand via de Full Disclosure-mailinglist bekend. Daarop besloot Golunski ook zijn details vrij te geven. Beheerders kunnen als tijdelijke oplossing voor "SMTP based transport" kiezen in plaats van Sendmail.

Bron: Security.nl