Debians sikkerhedsbulletin

DSA-2025-1 icedove -- flere sårbarheder

Rapporteret den:
31. mar 2010
Berørte pakker:
icedove
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2009-2408, CVE-2009-2404, CVE-2009-2463, CVE-2009-3072, CVE-2009-3075, CVE-2010-0163.
Yderligere oplysninger:

Flere fjernudnytbare sårbarheder blev opdaget i mailklienten Icedove, en varemærkefri version af mailklienten Thunderbird. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2009-2408

    Dan Kaminsky og Moxie Marlinspike opdagede at icedove ikke på korrekt vis håndterer et \0-tegn i et domænenavn i emnets Common Name-felt (CN) i et X.509-certifikat (MFSA 2009-42).

  • CVE-2009-2404

    Moxie Marlinspike rapporterede om en heapoverløbssårbarhed i koden, der håndterer regulære udtræk i certifikatnavne (MFSA 2009-43).

  • CVE-2009-2463

    monarch2020 opdagede et heltalsoverløb i en base64-dekodningsfunktion (MFSA 2010-07).

  • CVE-2009-3072

    Josh Soref opdagede et nedbrud i BinHex-dekoderen (MFSA 2010-07).

  • CVE-2009-3075

    Carsten Book rapporterede om et nedbrud i JavaScript-maskinen (MFSA 2010-07).

  • CVE-2010-0163

    Ludovic Hirlimann rapporterede om et nedbrud ved indeksering af visse meddelelser med vedhæftelser, hvilket kunne føre til udførelse af vilkårlig kode (MFSA 2010-07).

I den stabile distribution (lenny), er disse problemer rettet i version 2.0.0.24-0lenny1.

På grund af et problem med arkiveringssystemet, var det ikke muligt at udgive til alle arkitekturer. Overførsel til de manglende arkitekturer til arkivet, vil finde sted så snart opdateringerne er tilgængelige.

I distributionen testing (squeeze) og i den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine icedove-pakker.

Rettet i:

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24.orig.tar.gz
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1.dsc
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_alpha.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_alpha.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_alpha.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_amd64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_amd64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_amd64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_arm.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_arm.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_arm.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_hppa.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_hppa.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_hppa.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_i386.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_i386.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_i386.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_ia64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_ia64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_ia64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_ia64.deb
PowerPC:
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_powerpc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.