Web-сайт проекта Squirrelmail подвергся взлому

[turbo]

Несколько дней назад разработчики свободного почтового web-клиента SquirrelMail обнаружили следы проникновения на web-сервер проекта неизвестных злоумышленников, после чего в экстренном порядке на сервере были заблокированы все пользовательские аккаунты и осуществлена смена критически важных паролей. В настоящее время администраторы проекта переместили web-сайт на новый временный сервер.

По предварительным данным файлы с кодом SquirrelMail и коллекцией дополнений не были модифицированы злоумышленниками - управление исходными текстами велось на мощностях sourceforge.net, на взломанном сайте хранилась только коллекция дополнений. Тем не менее до окончательного завершения проверки рекомендуется повременить с установкой недавно загруженных с сайта squirrelmail.org плагинов (в настоящий момент доступ к архиву плагинов заблокирован).

По официально не подтвержденным данным, в версиях SquirrelMail 1.4.11, 1.4.12 и 1.4.13 была обнаружена уязвимость, позволяющая осуществить выполнение кода злоумышленника на сервере и сильно напоминающая троянскую вставку кода, предназначенную для организации рассылки спама. Проблема устранена в релизе 1.4.15.

http://www.opennet.ru/opennews/art.shtml?num=22277