Manipulationen an SquirrelMail-Paketen entdeckt
Zum Download angebotene Archive des Webmail-Systems wurden nach dem offziellen Release unautorisiert verändert.
- Christiane Rütten
Die Pakete für das Webmail-System SquirrelMail wurden nach dem öffentlichen Release am 5. Dezember nachträglich verändert. Laut den Entwicklern waren die Manipulationen an den Paketen, die am 8. Dezember erfolgt sein sollen, durch die abweichenden MD5-Prüfsummen aufgefallen. Betroffen waren offenbar nur die Pakete der aktuellen Stable-Version 1.4.12.
Die Entwickler führen die Veränderungen zwar auf einen möglicherweise kompromittierten Entwickler-Zugang zurück, schätzen die nachträglichen Modifikationen jedoch als ungefährlich ein. Ihrer Analyse zufolge verursachen sie schlimmstenfalls einen Programmfehler. Die Programmierer räumen allerdings auch ein, die entdeckten Änderungen nicht vollständig nachvollziehen zu können.
Die Empfehlung der Entwickler lautet daher, dass alle SquirrelMail-Admins, die ihre Installationsarchive zwischen dem 8. und 13. Dezember von der Projektseite heruntergeladen haben, sicherheitshalber die nun wieder zum Download angebotenen Ursprungspakete installieren sollten. Die MD5-Prüfsummen der unveränderten Archive lauten:
ea5e750797628c9f0f247009f8ae0e14 squirrelmail-1.4.12.tar.bz2
d17c1d9f1ee3dde2c1c21a22fc4f9d0e squirrelmail-1.4.12.tar.gz
3f6514939ea1ebf69f6f8c92781886ab squirrelmail-1.4.12.zip
(cr)
