Debians sikkerhedsbulletin

DSA-1336-1 mozilla-firefox -- flere sårbarheder

Rapporteret den:
22. jul 2007
Berørte pakker:
mozilla-firefox
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2007-1282, CVE-2007-0994, CVE-2007-0995, CVE-2007-0996, CVE-2007-0981, CVE-2007-0008, CVE-2007-0009, CVE-2007-0775, CVE-2007-0778, CVE-2007-0045, CVE-2006-6077.
Yderligere oplysninger:

Flere fjernudnytbare sårbarheder er opdaget i Mozilla Firefox.

Dette er den sidste sikkerhedsopdatering af Mozilla-baserede produkter i den gamle stabile distribution (sarge) of Debian. Vi anbefaler at opgradere til den stabile distribution (etch) så hurtigt som muligt.

Projektet Common Vulnerabilities and Exposures har fundet frem til følgende sårbarheder:

  • CVE-2007-1282

    Man har opdaget et heltalsoverløb i text/enhanced-meddelelsesfortolkning, hvilket muliggjorde udførelse af vilkårlig kode.

  • CVE-2007-0994

    Man har opdaget at en regression i JavaScript-maskinen muliggjorde udførelse af JavaScript med forøgede rettigheder.

  • CVE-2007-0995

    Man har opdaget at ukorrekt fortolkning af ugyldige HTML-tegn muliggjorde omgåelse af indholdsfiltre.

  • CVE-2007-0996

    Man har opdaget at usikker child frame-håndtering muliggjorde udførelse af skripter på tværs af websteder.

  • CVE-2007-0981

    Man har opdaget at Firefox på usikker vis håndterede URI'er med en nullbyte i værtsnavnet.

  • CVE-2007-0008

    Man har opdaget at et bufferoverløb i NSS-koden muliggjorde udførelse af vilkårlig kode.

  • CVE-2007-0009

    Man har opdaget at et bufferoverløb i NSS-koden muliggjorde udførelse af vilkårlig kode.

  • CVE-2007-0775

    Man har opdaget at flere programmeringsfejl i layout-maskinen muliggjorde udførelse af vilkårlig kode.

  • CVE-2007-0778

    Man har opdaget at sidecachen udregnede hash'er på en usikker måde.

  • CVE-2006-6077

    Man har opdaget at adgangskodehåndteringen tillod afsløring af adgangskoder.

I den gamle stabile distribution (sarge) er disse problemer rettet i version 1.0.4-2sarge17. Du bør opgradere til etch så hurtigt som muligt.

Den stabile distribution (etch) er ikke påvirket. Disse sårbarheder blev rettet for udgivelsen af Debian etch.

Den ustabile distribution (sid) indeholder ikke længere mozilla-firefox. Iceweasel er allerede rettet.

Rettet i:

Debian GNU/Linux 3.1 (sarge)

Kildekode:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17.dsc
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17.diff.gz
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_alpha.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_alpha.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_amd64.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_amd64.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_arm.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_arm.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_arm.deb
HPPA:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_hppa.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_hppa.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_i386.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_i386.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_ia64.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_ia64.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_ia64.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_m68k.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_m68k.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_mips.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_mips.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_mipsel.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_mipsel.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge15_powerpc.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge15_powerpc.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge15_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_s390.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_s390.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_sparc.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_sparc.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.