Debians sikkerhedsbulletin

DSA-1707-1 iceweasel -- flere sårbarheder

Rapporteret den:
15. jan 2009
Berørte pakker:
iceweasel
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2008-5500, CVE-2008-5503, CVE-2008-5504, CVE-2008-5506, CVE-2008-5507, CVE-2008-5508, CVE-2008-5510, CVE-2008-5511, CVE-2008-5512, CVE-2008-5513.
Yderligere oplysninger:

Flere fjernudnytbare sårbarheder er opdaget i webbrowseren Iceweasel, en version af browseren Firefox. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2008-5500

    Jesse Ruderman opdagede at layout-maskinen var sårbar over for lammelsesangreb (DoS), der måske kunne udløse hukommelseskorruption og heltalsoverløb. (MFSA 2008-60)

  • CVE-2008-5504

    Man opdagede at angribere kunne køre vilkårligt JavaScript med chrome-rettigheder via angrebsvinkler i forbindelse med feed-previewet. (MFSA 2008-62)

  • CVE-2008-5503

    Boris Zbarsky opdagede at et informationsafsløringsangreb kunne udføres gennem XBL-bindinger. (MFSA 2008-61)

  • CVE-2008-5506

    Marius Schilder opdagede at det var muligt at få fat i følsomme oplysninger gennem XMLHttpRequest. (MFSA 2008-64)

  • CVE-2008-5507

    Chris Evans opdagede at det var muligt at få fat i følsomme oplysninger gennem en JavaScript-URL. (MFSA 2008-65)

  • CVE-2008-5508

    Chip Salzenberg opdagede mulige phising-angreb gennem URL'er med foranstillet whitespace eller kontroltegn. (MFSA 2008-66)

  • CVE-2008-5510

    Kojima Hajime og Jun Muto opdagede at indkapslede null-tegn blev ignoreret af CSS-fortolkeren og kunne føre til omgåelse af beskyttelsesmekanismer (MFSA 2008-67)

  • CVE-2008-5511

    Man opdagede at det var muligt at udføre skripter på tværs af websteder gennem en XBL-binding til et "unloaded document." (MFSA 2008-68)

  • CVE-2008-5512

    Man opdagede at det var muligt at køre vilkårligt JavaScript med Chrome-rettigheder gennem ukendte angrebsvinkler. (MFSA 2008-68)

  • CVE-2008-5513

    moz_bug_r_a4 opdagede at session-restore-funktionen ikke på korrekt vis fornuftighedskontrollerede inddata, førende til vilkårlige indsprøjtninger. Dette problem kunne anvendes til at udføre et XSS-angreb eller køre vilkårligt JavaScript med chrome-rettigheder. (MFSA 2008-69)

I den stabile distribution (etch) er disse problemer rettet i version 2.0.0.19-0etch1.

I distributionen testing (lenny) og i den ustabile distribution (sid) er disse problemer rettet i version 3.0.5-1. Bemærk at iceweasel i lenny linker dynamisk til xulrunner.

Vi anbefaler at du opgraderer din iceweasel-pakke.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.19-0etch1.diff.gz
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.19.orig.tar.gz
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.19-0etch1.dsc
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.19-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.19-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.19-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox_2.0.0.19-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/firefox_2.0.0.19-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-gnome-support_2.0.0.19-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-dom-inspector_2.0.0.19-0etch1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.19-0etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.19-0etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.19-0etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.19-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.19-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.19-0etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.19-0etch1_arm.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.19-0etch1_arm.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.19-0etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.19-0etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.19-0etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.19-0etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.19-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.19-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.19-0etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.19-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.19-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.19-0etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.19-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.19-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.19-0etch1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.19-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.19-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.19-0etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.19-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.19-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.19-0etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.19-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.19-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.19-0etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.19-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.19-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.19-0etch1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.