Debians sikkerhedsbulletin
DSA-1697-1 iceape -- flere sårbarheder
- Rapporteret den:
- 7. jan 2009
- Berørte pakker:
- iceape
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2008-0016, CVE-2008-0304, CVE-2008-2785, CVE-2008-2798, CVE-2008-2799, CVE-2008-2800, CVE-2008-2801, CVE-2008-2802, CVE-2008-2803, CVE-2008-2805, CVE-2008-2807, CVE-2008-2808, CVE-2008-2809, CVE-2008-2810, CVE-2008-2811, CVE-2008-2933, CVE-2008-3835, CVE-2008-3836, CVE-2008-3837, CVE-2008-4058, CVE-2008-4059, CVE-2008-4060, CVE-2008-4061, CVE-2008-4062, CVE-2008-4065, CVE-2008-4067, CVE-2008-4068, CVE-2008-4069, CVE-2008-4070, CVE-2008-4582, CVE-2008-5012, CVE-2008-5013, CVE-2008-5014, CVE-2008-5017, CVE-2008-0017, CVE-2008-5021, CVE-2008-5024, CVE-2008-5022, CVE-2008-5500, CVE-2008-5503, CVE-2008-5506, CVE-2008-5507, CVE-2008-5508, CVE-2008-5511, CVE-2008-5512.
- Yderligere oplysninger:
-
Flere fjernudnytbare sårbarheder er opdaget i Iceape, en version af internetprogrampakken Seamonkey. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2008-0016
Justin Schuh, Tom Cross og Peter Williams opdagede et bufferoverløb i fortolkeren af UTF-8-URL'er, hvilket måske kunne føre til udførelse af vilkårlig kode. (MFSA 2008-37)
- CVE-2008-0304
Man opdagede at et bufferoverløb i MIME-dekodningen kunne føre til udførelse af vilkårlig kode. (MFSA 2008-26)
- CVE-2008-2785
Man opdagede at manglende grænsekontroller på en referencetæller i CSS-objekter kunne føre til udførelse af vilkårlig kode. (MFSA 2008-34)
- CVE-2008-2798
Devon Hubbard, Jesse Ruderman og Martijn Wargers opdagede nedbrud i layout-maskinen, hvilket måske kunne føre til udførelse af vilkårlig kode. (MFSA 2008-21)
- CVE-2008-2799
Igor Bukanov, Jesse Ruderman og Gary Kwong opdagede nedbrud i JavaScript-maskinen, hvilket måske kunne føre til udførelse af vilkårlig kode. (MFSA 2008-21)
- CVE-2008-2800
moz_bug_r_a4
opdagede flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder. (MFSA 2008-22) - CVE-2008-2801
Collin Jackson og Adam Barth opdagede at JavaScript-kode kunne udføres i konteksten eller i signerede JAR-arkiver. (MFSA 2008-23)
- CVE-2008-2802
moz_bug_r_a4
opdagede at XUL-dokumenter kunne forøge rettigheder ved at tilgå den prækompilerede "fastload"-fil. (MFSA 2008-24) - CVE-2008-2803
moz_bug_r_a4
opdagede at manglende fornuftighedskontrol af inddata i funktionen mozIJSSubScriptLoader.loadSubScript() kunne føre til udførelse af vilkårlig kode. Iceape selv er ikke påvirket, men nogle udvidelser er det. (MFSA 2008-25) - CVE-2008-2805
Claudio Santambrogio opdagede at manglende adgangsvalidering i DOM-fortolkning gjorde det muligt for ondsindede websteder, at tvinger webbroseren til at uploade lokale filer til serveren, hvilket kunne føre til informationsafsløring. (MFSA 2008-27)
- CVE-2008-2807
Daniel Glazman opdagede at en programmeringsfejl i koden til fortolkning af .properties-filer kunne føre til at hukommelsesindhold blev afsløret til udvidelser, hvilket kunne føre til informationsafsløring. (MFSA 2008-29)
- CVE-2008-2808
Masahiro Yamada opdagede at fil-URL'er i mappevisninger blev indkapslet utilstrækkeligt. (MFSA 2008-30)
- CVE-2008-2809
John G. Myers, Frank Benkstein og Nils Toedtmann opdagede at alternative navne på selvsignerede certifikater blev håndteret på utilstrækkelig vis, hvilket kunne føre til svindel med sikre forbindelser. (MFSA 2008-31)
- CVE-2008-2810
Man opdagede at URL-genvejsfiler kunne anvendes til at omgå samme ophav-begrænsninger. Problemet påvirker ikke den aktuelle Iceape, men kan opstå hvis ekstra udvidelser er installeret. (MFSA 2008-32)
- CVE-2008-2811
Greg McManus opdagede et nedbrud i blok-reflow-koden, hvilket måske kunne gøre det muligt af udføre vilkårlig kode. (MFSA 2008-33)
- CVE-2008-2933
Billy Rios opdagede at overførsel af en URL indeholdende et pipe-tegn til Iceape kunne føre til Chrome-rettighedsforøgelse. (MFSA 2008-35)
- CVE-2008-3835
moz_bug_r_a4
opdagede at samme ophav-kontrollen i nsXMLDocument::OnChannelRedirect() kunne omgås. (MFSA 2008-38) - CVE-2008-3836
moz_bug_r_a4
opdagede at flere sårbarheder i feedWriter kunne føre til Chrome-rettighedsforøgelse. (MFSA 2008-39) - CVE-2008-3837
Paul Nickerson opdagede at en angriber kunne flytte vinduer mens der blev klikket på musen, medførende uønskede handlinger udløst af træk og slip. (MFSA 2008-40)
- CVE-2008-4058
moz_bug_r_a4
opdagede en sårbarhed, der kunne medføre en Chrome-rettighedsforøgelse gennem XPCNativeWrappers. (MFSA 2008-41) - CVE-2008-4059
moz_bug_r_a4
opdagede en sårbarhed, der kunne medføre en Chrome-rettighedsforøgelse gennem XPCNativeWrappers. (MFSA 2008-41) - CVE-2008-4060
Olli Pettay og
moz_bug_r_a4
opdagede en Chrome-rettighedsforøgelsessårbarhed i XSLT-håndtering. (MFSA 2008-41) - CVE-2008-4061
Jesse Ruderman opdagede et nedbrud i layout-maskinen, hvilket måske kunne gøre det muligt at udføre vilkårlig kode. (MFSA 2008-42)
- CVE-2008-4062
Igor Bukanov, Philip Taylor, Georgi Guninski og Antoine Labour opdagede nedbrud i JavaScript-maskinen, hvilket måske kunne gøre det muligt at udføre vilkårlig kode. (MFSA 2008-42)
- CVE-2008-4065
Dave Reed opdagede at nogle Unicode-byterækkefølgemarkeringer blev fjernet fra JavaScript-kode før udførelse, hvilket kunne medføre udførelse af kode, der ellers var del af en streng i anførselstegn. (MFSA 2008-43)
- CVE-2008-4067
Man opdagede at et mappegennemløb gjorde det muligt for angribere at læse vilkårlige filer via et bestemt tegn. (MFSA 2008-44)
- CVE-2008-4068
Man opdagede at et mappegennemløb gjorde det muligt for angribere at omgå sikkerhedsbegrænsninger og få fat i følsomme oplysninger. (MFSA 2008-44)
- CVE-2008-4069
Billy Hoffman opdagede at XBM-dekoderen kunne afsløre uinitialiseret hukommelse. (MFSA 2008-45)
- CVE-2008-4070
Man opdagede at et bufferoverløb kunne udløses gennem en lang header i en nyhedsartikel, hvilket kunne føre til udførelse af vilkårlig kode. (MFSA 2008-46)
- CVE-2008-5012
Georgi Guninski, Michal Zalewski og Chris Evan opdagede at canvas-elementet kunne anvendes til at omgå samme ophav-begrænsninger. (MFSA 2008-48)
- CVE-2008-5013
Man opdagede at utilstrækkelige kontroller i Flash-plugin'ens glue-kode kunne føre til vilkårlig udførelse af kode. (MFSA 2008-49)
- CVE-2008-5014
Jesse Ruderman opdagede at en programmingsfejl i objektet window.__proto__.__proto__ kunne føre til udførelse af vilkårlig kode. (MFSA 2008-50)
- CVE-2008-5017
Man opdagede at nedbrud i layout-maskinen kunne føre til udførelse af vilkårlig kode. (MFSA 2008-52)
- CVE-2008-5018
Man opdagede at nedbrud i JavaScript-maskinen kunne føre til udførelse af vilkårlig kode. (MFSA 2008-52)
- CVE-2008-0017
Justin Schuh opdagede at et bufferoverløb i http-index-format-fortolkeren kunne føre til udførelse af vilkårlig kode. (MFSA 2008-54)
- CVE-2008-5021
Man opdagede at et nedbrud i nsFrameManager måske kunne føre til udførelse af vilkårlig kode. (MFSA 2008-55)
- CVE-2008-5024
Chris Evans opdagede at anførselstegn blev indkaplset på ukorrekt vis i standardnavnerummet i E4X-dokumenter. (MFSA 2008-58)
- CVE-2008-4582
Liu Die Yu og Boris Zbarsky opdagede en informationslækage gennem lokale genvejsfiler. (MFSA 2008-47, MFSA 2008-59)
- CVE-2008-5500
Jesse Ruderman opdagede at layout-maskinen var sårbar over for lammelsesangreb (DoS), der måske kunne udløse hukommelseskorruption og heltalsoverløb. (MFSA 2008-60)
- CVE-2008-5503
Boris Zbarsky opdagede at et informationsafsløringsangreb kunne udføres gennem XBL-bindinger. (MFSA 2008-61)
- CVE-2008-5506
Marius Schilder opdagede at det var muligt at få fat i følsomme oplysninger gennem XMLHttpRequest. (MFSA 2008-64)
- CVE-2008-5507
Chris Evans opdagede at det var muligt at få fat i følsomme oplysninger gennem en JavaScript-URL. (MFSA 2008-65)
- CVE-2008-5508
Chip Salzenberg opdagede mulige phising-angreb gennem URL'er med foranstillet whitespace eller kontroltegn. (MFSA 2008-66)
- CVE-2008-5511
Man opdagede at det var muligt at udføre skripter på tværs af websteder gennem en XBL-binding til et "unloaded document." (MFSA 2008-68)
- CVE-2008-5512
Man opdagede at det var muligt at køre vilkårligt JavaScript med Chrome-rettigheder gennem ukendte angrebsvinkler. (MFSA 2008-68)
I den stabile distribution (etch) er disse problemer rettet i version 1.0.13~pre080614i-0etch1.
I den kommende stabile distribution (lenny) vil disse problemer snart blive rettet.
I den ustabile (sid) distribution er disse problemer rettet i version 1.1.14-1.
Vi anbefaler at du opgraderer dine iceape-pakker.
- CVE-2008-0016
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.13~pre080614i-0etch1.dsc
- http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.13~pre080614i-0etch1.diff.gz
- http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.13~pre080614i.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.13~pre080614i-0etch1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-mailnews_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-calendar_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-chatzilla_1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-psm_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dev_1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-browser_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-dev_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-js-debugger_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-chatzilla_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-dom-inspector_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-calendar_1.8+1.0.13~pre080614i-0etch1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_amd64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.