Ejecución de código en servidores webmail de Sun

l problema se presenta debido a que la interfaz webmail no filtra de forma apropiada el código HTML introducido por un usuario antes de mostrar la entrada en un mensaje e-mail. Un atacante remoto podrá enviar un e-mail específicamente creado de tal forma que cuando el usuario atacado lo lea, provocará que su navegador ejecute código scripting arbitrario.

El código se generará desde el sitio que ejecute el servicio webmail y se ejecutará en el contexto de seguridad de dicho sitio. Como resultado, el código tendrá acceso a las cookies del usuario atacado asociadas con el sitio (incluidas las cookies de autenticación), a datos de accesos al sitio introducidos recientemente por el usuario a través de formularios web, o podrá realizar acciones sobre el dispositivo actuando como el propio usuario atacado.

Sun ha publicado las siguientes actualizaciones:

Para plataforma SPARC:

- En sistemas iPlanet Messaging Server 5.2 (Solaris 8 y 9) con el patch 5.2hf2.13 o posterior.

- En sistemas Sun Java System Messaging Server 6.0, 6.1 y 6.2 (Solaris 8, 9 y 10) con actualización 118207-56 o posterior.

Para plataformas x86:

- En sistemas Sun Java System Messaging Server 6.0, 6.1 y 6.2 (Solaris 9 y 10) con actualización 118208-56 o posterior.

Para plataformas Linux:

- En sistemas Sun Java System Messaging Server 6.0, 6.1 y 6.2 (para Red Hat Enterprise Linux 2.1 y 3.0) con actualización 118209-56 o posterior.