Debian-Sicherheitsankündigung

DSA-1336-1 mozilla-firefox -- Mehrere Verwundbarkeiten

Datum des Berichts:
22. Jul 2007
Betroffene Pakete:
mozilla-firefox
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2007-1282, CVE-2007-0994, CVE-2007-0995, CVE-2007-0996, CVE-2007-0981, CVE-2007-0008, CVE-2007-0009, CVE-2007-0775, CVE-2007-0778, CVE-2007-0045, CVE-2006-6077.
Weitere Informationen:

Mehrere entfernt ausnutzbare Verwundbarkeiten wurden in Mozilla Firefox entdeckt.

Dies wird die letzte Sicherheitsaktualisierung der Mozilla-basierten Produkte für die Oldstable-Distribution (Sarge) von Debian sein. Es wird dringendst empfohlen, so schnell wie möglich auf Stable (Etch) zu aktualisieren.

Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Verwundbarkeiten:

  • CVE-2007-1282

    Es wurde entdeckt, dass ein Integer-Überlauf beim Einlesen von Meldungen vom Typ text/enhanced die Ausführung beliebigen Codes ermöglicht.

  • CVE-2007-0994

    Es wurde entdeckt, dass eine Regression in der Javascript-Engine die Ausführung von Javascript mit erweiterten Rechten ermöglicht.

  • CVE-2007-0995

    Es wurde entdeckt, dass ein falsches Einlesen von ungültigen HTML-Zeichen die Umgehung von Inhaltsfiltern ermöglicht.

  • CVE-2007-0996

    Es wurde entdeckt, dass der unsichere Umgang mit Unterframes Site-übergreifendes Skripting ermöglicht.

  • CVE-2007-0981

    Es wurde entdeckt, dass Firefox URI mit einem Nullbyte im Rechnernamen unsicher behandelt.

  • CVE-2007-0008

    Es wurde entdeckt, dass ein Pufferüberlauf im NSS-Code die Ausführung beliebigen Codes ermöglicht.

  • CVE-2007-0009

    Es wurde entdeckt, dass ein Pufferüberlauf im NSS-Code die Ausführung beliebigen Codes ermöglicht.

  • CVE-2007-0775

    Es wurde entdeckt, dass mehrere Programmierfehler in der Layout-Engine die Ausführung beliebigen Codes ermöglichen.

  • CVE-2007-0778

    Es wurde entdeckt, dass der Seiten-Cache Hashes auf unsichere Art berechnet.

  • CVE-2006-6077

    Es wurde entdeckt, dass der Passwort-Verwalter die Enthüllung von Passwörtern ermöglicht.

Für die alte Stable-Distribution (Sarge) wurden diese Probleme in Version 1.0.4-2sarge17 behoben. Sie sollten so schnell wie möglich auf Etch aktualisieren.

Die Stable-Distribution (Etch) ist nicht betroffen. Diese Verwundbarkeiten wurden bereits vor der Veröffentlichung von Debian Etch behoben.

Die Unstable-Distribution (Sid) enthält mozilla-firefox nicht mehr. Iceweasel ist bereits korrigiert.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17.dsc
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17.diff.gz
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_alpha.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_alpha.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_amd64.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_amd64.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_arm.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_arm.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_arm.deb
HPPA:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_hppa.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_hppa.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_i386.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_i386.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_ia64.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_ia64.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_ia64.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_m68k.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_m68k.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_mips.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_mips.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_mipsel.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_mipsel.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge15_powerpc.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge15_powerpc.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge15_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_s390.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_s390.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge17_sparc.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge17_sparc.deb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge17_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.