Bulletin d'alerte Debian
DSA-1697-1 iceape -- Plusieurs vulnérabilités
- Date du rapport :
- 7 janvier 2009
- Paquets concernés :
- iceape
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2008-0016, CVE-2008-0304, CVE-2008-2785, CVE-2008-2798, CVE-2008-2799, CVE-2008-2800, CVE-2008-2801, CVE-2008-2802, CVE-2008-2803, CVE-2008-2805, CVE-2008-2807, CVE-2008-2808, CVE-2008-2809, CVE-2008-2810, CVE-2008-2811, CVE-2008-2933, CVE-2008-3835, CVE-2008-3836, CVE-2008-3837, CVE-2008-4058, CVE-2008-4059, CVE-2008-4060, CVE-2008-4061, CVE-2008-4062, CVE-2008-4065, CVE-2008-4067, CVE-2008-4068, CVE-2008-4069, CVE-2008-4070, CVE-2008-4582, CVE-2008-5012, CVE-2008-5013, CVE-2008-5014, CVE-2008-5017, CVE-2008-0017, CVE-2008-5021, CVE-2008-5024, CVE-2008-5022, CVE-2008-5500, CVE-2008-5503, CVE-2008-5506, CVE-2008-5507, CVE-2008-5508, CVE-2008-5511, CVE-2008-5512.
- Plus de précisions :
-
Plusieurs vulnérabilités distantes ont été découvertes dans Iceape, une version en marque blanche de la suite Seamonkey. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2008-0016
Justin Schuh, Tom Cross and Peter Williams ont découvert un dépassement de tampon dans l'analyseur d'URL UTF-8. Ceci peut conduire à l'exécution de code arbitraire. (MFSA 2008-37)
- CVE-2008-0304
Il a été découvert qu'un débordement de tampon dans le décodage MIME peut conduire à l'exécution de code arbitraire. (MFSA 2008-26)
- CVE-2008-2785
Il a été découvert qu'un manque de vérification de limite sur un compteur de référence pour les objets CSS peut conduire à l'exécution de code arbitraire. (MFSA 2008-34)
- CVE-2008-2798
Devon Hubbard, Jesse Ruderman et Martijn Wargers ont découvert qu'un arrêt dû à un bogue dans le moteur de rendu peut conduire à l'exécution de code arbitraire. (MFSA 2008-21)
- CVE-2008-2799
Igor Bukanov, Jesse Ruderman et Gary Kwong ont découvert qu'un arrêt dû à un bogue dans le moteur Javascript peut conduire à l'exécution de code. (MFSA 2008-21)
- CVE-2008-2800
"moz_bug_r_a4" a découvert plusieurs vulnérabilités de script intersite. (MFSA 2008-22)
- CVE-2008-2801
Collin Jackson et Adam Barth ont découvert que du code Javascript peut être exécuté dans le contexte d'archive JAR signé. (MFSA 2008-23)
- CVE-2008-2802
"moz_bug_r_a4" a découvert que les documents XUL peuvent augmenter leurs privilèges et accéder au fichier précompilé "fastload". (MFSA 2008-24)
- CVE-2008-2803
"moz_bug_r_a4" a découvert un manque de vérification d'entrée manquante dans la fonction mozIJSSubScriptLoader.loadSubScript (). Ceci peut conduire à l'exécution de code arbitraire. Iceape lui-même n'est pas affectée, mais certaines extensions le sont. (MFSA 2008-25)
- CVE-2008-2805
Claudio Santambrogio a découvert que le manque de vérification d'accès dans l'analyseur DOM permet à des sites web malveillants de forcer le navigateur à charger des fichiers locaux vers le serveur ce qui pourrait conduire à la divulgation d'informations. (MFSA 2008-27)
- CVE-2008-2807
Daniel Glazman a découvert qu'une erreur de programmation dans le code de l'analyseur de fichier .properties peut conduire à l'exposition de la mémoire aux extensions. Ceci peut conduire à la divulgation d'informations. (MFSA 2008-29)
- CVE-2008-2808
Masahiro Yamada a découvert que les URL des fichiers dans le répertoire des listes sont insuffisamment échappées. (MFSA 2008-30)
- CVE-2008-2809
John G. Myers, Frank Benkstein et Nils Toedtmann ont découvert que les noms alternatifs sur les certificats auto-signés sont insuffisamment traités. Ceci peut conduire à une usurpation des connexions sécurisées. (MFSA 2008-31)
- CVE-2008-2810
Il a été découvert que les URL des fichiers de raccourci peuvent être utilisées pour contourner les restrictions de même origine. Ce problème n'affecte pas Iceape tel quel mais pourrait se produire avec des extensions installées. (MFSA 2008-32)
- CVE-2008-2811
Greg McManus a découvert un crash dans le bloc de code reflow. Il pourrait permettre l'exécution de code arbitraire. (MFSA 2008-33)
- CVE-2008-2933
Billy Rios a découvert que le passage d'une URL contenant une barre "|" à Iceape peut conduire à une augmentation de privilège de Chrome. (MFSA 2008-35)
- CVE-2008-3835
"moz_bug_r_a4" a découvert que la vérification de même origine dans nsXMLDocument::OnChannelRedirect() peut être contourné. (MFSA 2008-38)
- CVE-2008-3836
"moz_bug_r_a4" a découvert plusieurs vulnérabilités dans feedWriter qui pourraient conduire à une augmentation de privilège de Chrome (MFSA 2008-39)
- CVE-2008-3837
Paul Nickerson a découvert qu'un attaquant pourrait déplacer des fenêtres lors d'un clic de souris ce qui déclencherait une action non désirée déclenché par glisser-déposer. (MFSA 2008-40)
- CVE-2008-4058
"moz_bug_r_a4" a découvert une vulnérabilité pouvant conduire à une augmentation de privilège de Chrome via XPCNativeWrappers. (MFSA 2008-41)
- CVE-2008-4059
"moz_bug_r_a4" a découvert une vulnérabilité pouvant conduire à une augmentation de privilège de Chrome via XPCNativeWrappers. (MFSA 2008-41)
- CVE-2008-4060
Olli Pettay et "moz_bug_r_a4" ont découvert une vulnérabilité permettant une augmentation de privilège de Chrome dans la gestion XSLT. (MFSA 2008-41)
- CVE-2008-4061
Jesse Ruderman a découvert un arrêt dû à un bogue dans le moteur de rendu. Ceci peut conduire à une exécution de code arbitraire. (MFSA 2008-42)
- CVE-2008-4062
Igor Bukanov, Philip Taylor, Georgi Guninski et Antoine Labour ont découvert un arrêt dû à un bogue dans le moteur Javascript. Ceci peut conduire à une exécution de code arbitraire. (MFSA 2008-42)
- CVE-2008-4065
Dave Reed a découvert que certains marqueurs d'ordre des octets Unicode sont supprimés du code Javascript avant exécution. Ceci peut conduire à l'exécution de code faisant normalement partie d'une chaîne de caractère. (MFSA 2008-43)
- CVE-2008-4067
Boris Zbarsky a découvert que la ressource URL permet le changement de répertoire en utilisant des barres obliques encodé dans l'URL. (MFSA 2008-44)
- CVE-2008-4068
Georgi Guninski a découvert que la ressource URL peut contourner les restriction d'accès local. (MFSA 2008-44)
- CVE-2008-4069
Billy Hoffman a découvert que le décodeur XBM peut révéler de la mémoire non initialisée. (MFSA 2008-45)
- CVE-2008-4070
Il a été découvert qu'un dépassement de tampon peut être effectué via une longue en-tête d'un message de nouvelle. Ceci peut conduire à l'exécution de code arbitraire. (MFSA 2008-46)
- CVE-2008-5012
Georgi Guninski, Michal Zalewski et Chris Evan ont découvert qu'un élément de dessin peut être utilisé pour contourner une vérification de même origine. (MFSA 2008-48)
- CVE-2008-5013
Il a été découvert qu'une vérification insuffisante dans le code d'inclusion du module Flash plugin peut conduire à l'exécution de code arbitraire. (MFSA 2008-49)
- CVE-2008-5014
Jesse Ruderman a découvert qu'une erreur de programmation dans l'objet window.__proto__.__proto__ object peut permettre l'exécution de code arbitraire. (MFSA 2008-50)
- CVE-2008-5017
Il a été découvert qu'un arrêt dû à un bogue dans le moteur de rendu peut permettre l'exécution de code arbitraire. (MFSA 2008-52)
- CVE-2008-0017
Justin Schuh a découvert qu'un débordement de tampon dans l'analyseur http-index-format peut conduire à l'exécution de code arbitraire. (MFSA 2008-54)
- CVE-2008-5021
Il a été découvert qu'un arrêt dû à un bogue dans nsFrameManager peut conduire à l'exécution de code arbitraire. (MFSA 2008-55)
- CVE-2008-5022
"moz_bug_r_a4" a découvert que le test de même origine dans nsXMLHttpRequest::NotifyEventListeners() peut être contourné. (MFSA 2008-56)
- CVE-2008-5024
Chris Evans a découvert que les caractères guillemet ne sont pas correctement échappés dans l'espace de nommage par défaut des documents E4X. (MFSA 2008-58)
- CVE-2008-4582
Liu Die Yu et Boris Zbarsky ont découvert une fuite d'information via des fichiers locaux de raccourcis. (MFSA 2008-59)
- CVE-2008-5500
Jesse Ruderman a découvert que la structure du moteur est vulnérable aux attaques de type DoS ce qui peut conduire au déclenchement d'une corruption de la mémoire et à un dépassement d'entier. (MFSA 2008-60)
- CVE-2008-5503
Boris Zbarsky a découvert que les attaques de divulgation d'information pourrait être réalisées via des liaisons XBL. (MFSA 2008-61)
- CVE-2008-5506
Marius Schilder découvert qu'il est possible d'obtenir des données sensibles par le biais d'une requête XMLHttpRequest. (MFSA 2008-64)
- CVE-2008-5507
Chris Evans a découvert qu'il est possible d'obtenir des données sensibles via une URL JavaScript. (MFSA 2008-65)
- CVE-2008-5508
Chip Salzenberg a découvert la possibilité de faire des attaques de type hameçonnage avec des URLs contenant des espacements ou des caractères de contrôle. (MFSA 2008-66)
- CVE-2008-5511
Il a été découvert qu'il est possible de faire des attaques de script intersite grâce aux liaisons XBL sur un document non chargé. (MFSA 2008-68)
- CVE-2008-5512
Il a été découvert qu'il est possible d'exécuter du code JavaScript arbitraire avec les privilèges de chrome grâce à des vecteurs inconnus. (MFSA 2008-68)
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.0.13~pre080614i-0etch1.
Pour la distribution stable à venir (Lenny), ces problème seront bientôt corrigés.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.1.14-1.
Nous vous recommandons de mettre à jour vos paquets iceape.
- CVE-2008-0016
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.13~pre080614i-0etch1.dsc
- http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.13~pre080614i-0etch1.diff.gz
- http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.13~pre080614i.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.13~pre080614i-0etch1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-mailnews_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-calendar_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-chatzilla_1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-psm_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dev_1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-browser_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-dev_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-js-debugger_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-chatzilla_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-dom-inspector_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-calendar_1.8+1.0.13~pre080614i-0etch1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_amd64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.