Debian-Sicherheitsankündigung
DSA-1607-1 iceweasel -- Mehrere Verwundbarkeiten
- Datum des Berichts:
- 11. Jul 2008
- Betroffene Pakete:
- iceweasel
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2008-2798, CVE-2008-2799, CVE-2008-2800, CVE-2008-2801, CVE-2008-2802, CVE-2008-2803, CVE-2008-2805, CVE-2008-2807, CVE-2008-2808, CVE-2008-2809, CVE-2008-2811.
- Weitere Informationen:
-
Mehrere entfernt ausnutzbare Verwundbarkeiten wurden im Iceweasel-Webbrowser entdeckt, einer wegen Markenproblemen umbenannten Version des Firefox-Browsers. Das
Common Vulnerabilities and Exposures
-Projekt identifiziert die folgenden Probleme:- CVE-2008-2798
Devon Hubbard, Jesse Ruderman und Martijn Wargers entdeckten Abstürze in der Layout-Engine, was die Ausführung beliebigen Codes ermöglichen könnte.
- CVE-2008-2799
Igor Bukanov, Jesse Ruderman und Gary Kwong entdeckten Abstürze in der Javascript-Engine, was die Ausführung beliebigen Codes ermöglichen könnte.
- CVE-2008-2800
moz_bug_r_a4
entdeckte mehrere Site-übergreifende Skripting-Verwundbarkeiten. - CVE-2008-2801
Collin Jackson und Adam Barth entdeckten, dass Javascript-Code im Kontext signierter JAR-Archive ausgeführt werden kann.
- CVE-2008-2802
moz_bug_r_a4
entdeckte, dass XUL-Dokumente Privilegien ausweiten können, indem auf die vorkompiliertefastload
-Datei zugegriffen wird. - CVE-2008-2803
moz_bug_r_a4
entdeckte, dass eine fehlende Eingabebereinigung in der FunktionmozIJSSubScriptLoader.loadSubScript()zur Ausführung beliebigen Codes führen kann. Iceweasel selber ist nicht betroffen, aber einige Zusätze (Addons) sind es. - CVE-2008-2805
Claudio Santambrogio entdeckte, dass eine fehlende Zugangsüberprüfung beim Parsen des DOMs bösartigen Websites ermöglicht, den Browser zu zwingen, lokale Dateien auf den Server hochzuladen, was zu einer Informationsenthüllung führen kann.
- CVE-2008-2807
Daniel Glazman entdeckte, dass ein Programmierfehler im Code zum Einlesen der .properties-Dateien dazu führen kann, dass Speicherinhalt an Addons weitergereicht wird, was zu einer Informationsenthüllung führen kann.
- CVE-2008-2808
Masahiro Yamada entdeckte, dass Datei-URLs in Verzeichnislisten unzureichend geschützt wurden.
- CVE-2008-2809
John G. Myers, Frank Benkstein und Nils Toedtmann entdeckten, dass alternative Namen in selbstsignierten Zertifikaten unzureichend behandelt wurden, was zum Spoofen sicherer Verbindungen führen kann.
- CVE-2008-2811
Greg McManus entdeckte einen Absturz im Blockrückfluss-Code, was zur Ausführung beliebigen Codes führen kann.
Für die Stable-Distribution (Etch) wurden diese Probleme in Version 2.0.0.15-0etch1 behoben.
Iceweasel aus der Unstable-Distribution (Sid) linkt dynamisch gegen die Bibliothek xulrunner.
Wir empfehlen Ihnen, Ihr iceweasel-Paket zu aktualisieren.
- CVE-2008-2798
- Behoben in:
-
Debian GNU/Linux 4.0 (etch)
- Quellcode:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1.dsc
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1.diff.gz
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1.dsc
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox_2.0.0.15-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.15-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox_2.0.0.15-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-dom-inspector_2.0.0.15-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-gnome-support_2.0.0.15-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.15-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.15-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.15-0etch1_all.deb
- AMD64:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_amd64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.