Sauter le menu

• À propos de Debian
• Actualités
• Obtenir Debian
• Assistance
• Le coin du développeur
• Plan du site
• Recherche

Bulletin d'alerte Debian

DSA-1649-1 iceweasel -- Plusieurs vulnérabilités

Date du rapport:

8 octobre 2008

Paquets concernés:

iceweasel

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2008-0016, CVE-2008-3835, CVE-2008-3836, CVE-2008-3837, CVE-2008-4058, CVE-2008-4059, CVE-2008-4060, CVE-2008-4061, CVE-2008-4062, CVE-2008-4065, CVE-2008-4066, CVE-2008-4067, CVE-2008-4068, CVE-2008-4069.

Pour plus d'information:

Plusieurs vulnérabilités distantes ont été découvertes dans le navigateur web Iceweasel, une version démarquée du navigateur Firefox. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

• CVE-2008-0016

  Justin Schuh, Tom Cross et Peter Williams ont découvert un débordement de tampon dans le découpeur d'URL en UTF-8, ce qui peut mener à l'exécution de code arbitraire.

• CVE-2008-3835

  moz_bug_r_a4 a découvert que la vérification de même origine dans nsXMLDocument::OnChannelRedirect() pouvait être contournée.

• CVE-2008-3836

  moz_bug_r_a4 a découvert que plusieurs vulnérabilités dans la fonction feedWriter pouvaient conduire à une augmentation des droits de Chrome.

• CVE-2008-3837

  Paul Nickerson a découvert qu'un attaquant pouvait déplacer des fenêtres pendant un clic de souris, résultant en une action non désirée provoquée par un glisser-lâcher.

• CVE-2008-4058

  moz_bug_r_a4 a découvert une vulnérabilité qui peut résulter dans une augmentation des privilèges de Chrome à travers XPCNativeWrappers.

• CVE-2008-4059

  moz_bug_r_a4 a découvert une vulnérabilité qui peut résulter dans une augmentation des privilèges de Chrome à travers XPCNativeWrappers.

• CVE-2008-4060

  Olli Pettay et moz_bug_r_a4 ont découvert une augmentation des droits de Chrome dans la gestion de XSLT.

• CVE-2008-4061

  Jesse Ruderman a découvert un crash dans le moteur de rendu, qui aurait pu permettre l'exécution de code arbitraire.

• CVE-2008-4062

  Igor Bukanov, Philip Taylor, Georgi Guninski et Antoine Labour ont découvert des crashes dans le moteur Javascript, qui auraient pu permettre l'exécution de code arbitraire.

• CVE-2008-4065

  Dave Reed a découvert que certaines marques de l'ordre des octets d'Unicode sont effacées du code Javascript avant exécution, ce qui peut résulter en l'exécution de code qui était autrement une partie d'une chaîne entre guillemets.

• CVE-2008-4066

  Gareth Heyes a découvert que quelques caractères de substitution Unicode sont ignorés par le découpeur HTML.

• CVE-2008-4067

  Boris Zbarsky a découvert que « resource: URLs » permet la traversée de répertoire lors de l'utilisation de barres obliques encodées en URL.

• CVE-2008-4068

  Georgi Guninski a découvert que « resource: URLs » pouvait contourner des restrictions locales d'accès.

• CVE-2008-4069

  Billy Hoffman a découvert que le décodeur XBM pouvait révéler de la mémoire non initialisée.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.0.0.17-0etch1. Des paquets pour l'architecture hppa seront fournis plus tard.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 3.0.3 d'iceweasel et la version 1.9.0.3-1 de xulrunner.

Nous vous recommandons de mettre à jour vos paquets iceweasel.

Corrigé dans:

Debian GNU/Linux 4.0 (etch)

Source :

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17.orig.tar.gz

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1.dsc

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1.diff.gz

Composant indépendant de l'architecture :

http://security.debian.org/pool/updates/main/i/iceweasel/firefox_2.0.0.17-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.17-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-dom-inspector_2.0.0.17-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-gnome-support_2.0.0.17-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.17-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox_2.0.0.17-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.17-0etch1_all.deb

Alpha:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_alpha.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_alpha.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_alpha.deb

AMD64:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_amd64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_amd64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_amd64.deb

ARM:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_arm.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_arm.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_i386.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_i386.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_ia64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_ia64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_ia64.deb

Big-endian MIPS:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_mips.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_mips.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_mips.deb

Little-endian MIPS:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_mipsel.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_mipsel.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_powerpc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_powerpc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_s390.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_s390.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_sparc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_sparc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Cette page est aussi disponible dans les langues suivantes :

dansk Deutsch English español 日本語 (Nihongo) svenska

Comment configurer la langue par défaut du document