Bulletin d'alerte Debian

DSA-1607-1 iceweasel -- Plusieurs vulnérabilités

Date du rapport :
11 juillet 2008
Paquets concernés :
iceweasel
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2008-2798, CVE-2008-2799, CVE-2008-2800, CVE-2008-2801, CVE-2008-2802, CVE-2008-2803, CVE-2008-2805, CVE-2008-2807, CVE-2008-2808, CVE-2008-2809, CVE-2008-2811.
Plus de précisions :

Plusieurs vulnérabilités distantes ont été découvertes dans Iceweasel, une version en marque blanche du navigateur Firefox. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :

  • CVE-2008-2798

    Devon Hubbard, Jesse Ruderman et Martijn Wargers ont découvert des plantages dans le moteur de rendu. Cela peut permettre l'exécution de code arbitraire.

  • CVE-2008-2799

    Igor Bukanov, Jesse Ruderman et Gary Kwong ont découvert des plantages dans le moteur JavaScript. Cela peut permettre l'exécution de code arbitraire.

  • CVE-2008-2800

    moz_bug_r_a4 a découvert plusieurs vulnérabilités par script intersite.

  • CVE-2008-2801

    Collin Jackson et Adam Barth ont découvert que du code JavaScript pouvait être exécuté dans le contexte d'archives JAR signées.

  • CVE-2008-2802

    moz_bug_r_a4 a découvert que des documents XUL pouvaient augmenter leur droits en accédant au fichier fastload précompilé.

  • CVE-2008-2803

    moz_bug_r_a4 a découvert qu'une validation insuffisante des entrées dans la fonction mozIJSSubScriptLoader.loadSubScript() pouvait conduire à l'exécution de code arbitraire. Iceweasel lui-même n'est pas affecté, mais certains modules le sont.

  • CVE-2008-2805

    Claudio Santambrogio a découvert qu'une validation manquante des accès dans l'analyse DOM permettait à des sites malveillants de forcer le navigateur à télécharger des fichiers locaux sur le serveur. Cela peut conduire à divulguer des informations.

  • CVE-2008-2807

    Daniel Glazman a découvert qu'une erreur de programmation dans le code d'analyse des fichiers .properties pouvait conduire à exposer du contenu de la mémoire à des modules. Cela peur alors conduire à divulguer des informations.

  • CVE-2008-2808

    Masahiro Yamada a découvert que les URL des fichiers dans les listes de répertoires n'étaient pas suffisamment protégées.

  • CVE-2008-2809

    John G. Myers, Frank Benkstein et Nils Toedtmann ont découvert que les noms alternatifs dans les certificats auto-signés n'étaient pas correctement gérés. Cela peut conduire à l'usurpation de connexions sécurisées.

  • CVE-2008-2811

    Greg McManus a découvert un plantage dans le code de réordonnancement des blocs. Cela peut conduire à l'exécution de code arbitraire.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.0.0.15-0etch1.

Pour la distribution instable (Sid), Iceweasel est lié dynamiquement avec la bibliothèque xulrunner.

Nous vous recommandons de mettre à jour votre paquet iceweasel.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15.orig.tar.gz
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1.dsc
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/firefox_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-dom-inspector_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-gnome-support_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.15-0etch1_all.deb
AMD64:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_amd64.deb
HP Precision:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.