FreeBSDのportsにSquirrelmailが入るようになってからずっとports版のSquirrelmailを使っていました。でも、php5.4の環境でインストールしようとするとportsが
/usr/ports/mail/squirrelmail# make configure ===> squirrelmail-1.4.22_3 cannot be installed: doesn't work with lang/php5 port (<span style="color: #ff0000;">doesn't support PHP 5.4</span>). *** [configure] Error code 1 Stop in /usr/ports/mail/squirrelmail.
と怒ってインストールさせてくれません。仕方が無いのphp 5.3 (php53-*)のportsを入れてやり過ごしてきました。
前回から大分たちますが、
Affected package: squirrelmail-1.4.13
Type of problem: squirrelmail — Cross site scripting vulnerability.
Reference: <http://www.FreeBSD.org/ports/portaudit/d1ce8a4f-c235-11dd-8cbc-00163e000016.html>
という警告が出てたのを放っておいたのを遅ればせながらアップデートしました。いつものとおりportupgradeした後、日本語向けのパッチを当てる。今回はsquirrelmail-1.4.17-ja-20081204-patch.gz。
ヘッダの加工はclass/deliver/Deliver.class.phpを
# diff Deliver.class.php Deliver.class.php.original
579,580c579
< //$header[] = “Received: from $received_from” . $rn;
< $header[] = “Received: from ほげほげ(IPアドレス)” . $rn;
—
> $header[] = “Received: from $received_from” . $rn;
の一箇所でOK。
毎日のportsのcvsupでpkg_versionが、
squirrelmail-1.4.11 < needs updating (port has 1.4.13)
と知らせてくれました。マイナーバージョンが11から13に一気に上がってます。
いつものようにportupgradeして、日本語パッチをここから落としてきて当てて、と作業をしようとしてる途中で
SECURITY:
SquirrelMail 1.4.12 Package Compromise
SquirrelMail 1.4.13 Released 非常に危険な脆弱性修正
SquirrelMail 1.4.11と1.4.12に何があったのか
を知りました。1.4.11と1.4.12のコードが何者かに改ざんされていたので急遽1.4.13のリリースとなったらしいです。
問題のコードが私のサーバーのSquirrelmailには入っていなかったのでセーフでしたが、ともあれアップデートは済ませておきました。
Squirrelmail 1.4.10a から 1.4.11 へupdateする。
portupgrade squirrelmail でOK。
その後、日本語向けのパッチを当てる。squirrelmail-1.4.11-ja-20071029-patch.gz