Debian セキュリティ勧告

DSA-1607-1 iceweasel -- 複数の脆弱性

報告日時:
2008-07-11
影響を受けるパッケージ:
iceweasel
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2008-2798, CVE-2008-2799, CVE-2008-2800, CVE-2008-2801, CVE-2008-2802, CVE-2008-2803, CVE-2008-2805, CVE-2008-2807, CVE-2008-2808, CVE-2008-2809, CVE-2008-2811.
詳細:

商標非使用版の Firefox Web ブラウザである Iceweasel に、リモートから攻 撃可能な複数の問題が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。

  • CVE-2008-2798

    Devon Hubbard さん、Jesse Ruderman さん、および Martijn Wargers さ んにより、レイアウトエンジンにクラッシュがあり、任意のコードの実行 の可能性があることが発見されました。

  • CVE-2008-2799

    Igor Bukanov さん、Jesse Ruderman さん、および Gary Kwong さんによ り、Javascript エンジンにクラッシュがあり、任意のコードの実行の可能 性があることが発見されました。

  • CVE-2008-2800

    "moz_bug_r_a4" さんにより、複数のクロスサイトスクリプティング欠陥が 発見されました。

  • CVE-2008-2801

    Collin Jackson さんと Adam Barth さんにより、Javascript コードが署名 された JAR アーカイブのコンテキストで実行可能であることが発見されま した。

  • CVE-2008-2802

    "moz_bug_r_a4" さんにより、プリコンパイルされた fastload ファイルを アクセスすることにより、XUL ドキュメントを特権昇格可能であることが発 見されました。

  • CVE-2008-2803

    "moz_bug_r_a4" さんにより、mozIJSSubScriptLoader.loadSubScript() 関 数に入力のサニタイズが欠けているため、任意のコードが実行可能であるこ とが発見されました。Iceweasel 自体は影響を受けませんが、addon には影 響があります。

  • CVE-2008-2805

    Claudio Santambrogio さんにより、DOM パーザに入力の認証が欠けている ため、悪意を持ったウェブサイトがローカルファイルをサーバにアップロー ドさせるようブラウザにし向けることが可能で、情報漏洩に繋がることが発 見されました。

  • CVE-2008-2807

    Daniel Glazman さんにより、.properties ファイルのパーザにプログラム ミスがあり、メモリ内容がアドオンに漏洩するため、情報漏洩に繋がること が発見されました。

  • CVE-2008-2808

    山田昌弘さんにより、ディレクトリリスティング中の URL が適切にサニタ イズされていないことが発見されました。

  • CVE-2008-2809

    John G. Myers さん、Frank Benkstein さん、および Nils Toedtmann さん により、自己署名証明書の alternate name の処理が不十分で、セキュアな コネクションを詐称できることが発見されました。

  • CVE-2008-2811

    Greg McManus さんにより、ブロックリフロー処理にクラッシュがあり、任 意のコードの実行の可能性があることが発見されました。

安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 2.0.0.15-0etch1 で修正されています。

不安定版 (unstable) sid の Iceweasel は xulrunner ライブラリに動的リンク されています。

直ぐに iceweasel パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 4.0 (etch)

ソース:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15.orig.tar.gz
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1.dsc
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1.diff.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/firefox_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-dom-inspector_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-gnome-support_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.15-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.15-0etch1_all.deb
AMD64:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_amd64.deb
HP Precision:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。