← Back to branch summary

~ubuntu-branches/ubuntu/wily/squirrelmail/wily

« back to all changes in this revision

Viewing changes to plugins/mail_fetch/README

  • Committer: Bazaar Package Importer
  • Author(s): Andreas Wenning
  • Date: 2010-06-24 14:19:29 UTC
  • Revision ID: james.westby@ubuntu.com-20100624141929-cgioazl172gmzi91
Tags: 2:1.4.20-1ubuntu1
https://launchpad.net/bugs/598077
* SECURITY UPDATE: (LP: #598077)
* The Mail Fetch plugin allows remote authenticated users to bypass firewall
  restrictions and use SquirrelMail as a proxy to scan internal networks via
  a modified POP3 port number.
  - http://squirrelmail.org/security/issue/2010-06-21
  - CVE-2010-1637
  - Patch taken from upstream svn rev. 13951. Applied inline.

Show diffs side-by-side

added added

removed removed

Lines of Context:
plugins/mail_fetch/README
75
75
reenter account's passwords the system will switch to encrypted mode.
76
76
 
77
77
 
 
78
Security
 
79
========
 
80
 
 
81
By default, the user is not allowed to enter a non-standard POP3 port
 
82
number when configuring an external server with this plugin.  This prevents
 
83
the use of this plugin as a port scanner against other servers.  However,
 
84
if you need to allow users to access a POP3 service running on a non-
 
85
standard port, you may create a "config.php" file by copying "config_example.php"
 
86
and editing the list of allowable port numbers therein.  If "ALL" is added
 
87
to the list of allowable port numbers, then there will be no restriction
 
88
on port numbers whatsoever.  Be aware that although this may not represent
 
89
any security threat to servers elsewhere on the Internet that does not
 
90
already exist (other port scanners are freely available), if your server
 
91
resides on a network behind a firewall, this could allow a malicious user
 
92
to scan the servers and services behind your firewall that they'd normally
 
93
not have access to.
 
94
 
 
95
The user will also not be allowed to enter server addresses starting
 
96
with "10.", "192.", "127." and "localhost" by default.  This prevents users
 
97
from being able to scan an internal network for the presence of other servers
 
98
they are not allowed to access.  If other server addresses should be banned,
 
99
or this list is too restrictive, you may create a "config.php" file by copying
 
100
"config_example.php" and then edit the list of blocked server addresses
 
101
therein.
 
102
 
 
103
 
78
104
Future Work
79
105
===========
80
106