Debian-Sicherheitsankündigung

DSA-1607-1 iceweasel -- Mehrere Verwundbarkeiten

Datum des Berichts:
11. Jul 2008
Betroffene Pakete:
iceweasel
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2008-2798, CVE-2008-2799, CVE-2008-2800, CVE-2008-2801, CVE-2008-2802, CVE-2008-2803, CVE-2008-2805, CVE-2008-2807, CVE-2008-2808, CVE-2008-2809, CVE-2008-2811.
Weitere Informationen:

Mehrere entfernt ausnutzbare Verwundbarkeiten wurden im Iceweasel-Webbrowser entdeckt, einer wegen Markenproblemen umbenannten Version des Firefox-Browsers. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme:

  • CVE-2008-2798

    Devon Hubbard, Jesse Ruderman und Martijn Wargers entdeckten Abstürze in der Layout-Engine, was die Ausführung beliebigen Codes ermöglichen könnte.

  • CVE-2008-2799

    Igor Bukanov, Jesse Ruderman und Gary Kwong entdeckten Abstürze in der Javascript-Engine, was die Ausführung beliebigen Codes ermöglichen könnte.

  • CVE-2008-2800

    moz_bug_r_a4 entdeckte mehrere Site-übergreifende Skripting-Verwundbarkeiten.

  • CVE-2008-2801

    Collin Jackson und Adam Barth entdeckten, dass Javascript-Code im Kontext signierter JAR-Archive ausgeführt werden kann.

  • CVE-2008-2802

    moz_bug_r_a4 entdeckte, dass XUL-Dokumente Privilegien ausweiten können, indem auf die vorkompilierte fastload-Datei zugegriffen wird.

  • CVE-2008-2803

    moz_bug_r_a4 entdeckte, dass eine fehlende Eingabebereinigung in der Funktion mozIJSSubScriptLoader.loadSubScript() zur Ausführung beliebigen Codes führen kann. Iceweasel selber ist nicht betroffen, aber einige Zusätze (Addons) sind es.

  • CVE-2008-2805

    Claudio Santambrogio entdeckte, dass eine fehlende Zugangsüberprüfung beim Parsen des DOMs bösartigen Websites ermöglicht, den Browser zu zwingen, lokale Dateien auf den Server hochzuladen, was zu einer Informationsenthüllung führen kann.

  • CVE-2008-2807

    Daniel Glazman entdeckte, dass ein Programmierfehler im Code zum Einlesen der .properties-Dateien dazu führen kann, dass Speicherinhalt an Addons weitergereicht wird, was zu einer Informationsenthüllung führen kann.

  • CVE-2008-2808

    Masahiro Yamada entdeckte, dass Datei-URLs in Verzeichnislisten unzureichend geschützt wurden.

  • CVE-2008-2809

    John G. Myers, Frank Benkstein und Nils Toedtmann entdeckten, dass alternative Namen in selbstsignierten Zertifikaten unzureichend behandelt wurden, was zum Spoofen sicherer Verbindungen führen kann.

  • CVE-2008-2811

    Greg McManus entdeckte einen Absturz im Blockrückfluss-Code, was zur Ausführung beliebigen Codes führen kann.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 2.0.0.15-0etch1 behoben.

Iceweasel aus der Unstable-Distribution (Sid) linkt dynamisch gegen die Bibliothek xulrunner.

Wir empfehlen Ihnen, Ihr iceweasel-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (etch)

Quellcode:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15.orig.tar.gz
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1.dsc
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1.diff.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/firefox_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-dom-inspector_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-gnome-support_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.15-0etch1_all.deb
AMD64:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_amd64.deb
HP Precision:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.