Bulletin d'alerte Debian

DSA-2025-1 icedove -- Plusieurs vulnérabilités

Date du rapport :
31 mars 2010
Paquets concernés :
icedove
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2009-2408, CVE-2009-2404, CVE-2009-2463, CVE-2009-3072, CVE-2009-3075, CVE-2010-0163.
Plus de précisions :

Plusieurs vulnérabilités distantes ont été découvertes dans le client de courrier électronique Icedove, une version sans marque du client de courrier électronique Thunderbird. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2009-2408

    Dan Kaminsky et Moxie Marlinspike ont découvert qu'Icedove ne traite pas correctement un caractère \0 d'un nom de domaine dans le champ Common Name (CN) du sujet d'un certificat X.509 (MFSA 2009-42).

  • CVE-2009-2404

    Moxie Marlinspike a signalé une vulnérabilité de dépassement de tas dans le code qui traite les expressions rationnelles dans les noms de certificat (MFSA 2009-43).

  • CVE-2009-2463

    monarch2020 a découvert un débordement d'entier dans une fonction de décodage base64 (MFSA 2010-07).

  • CVE-2009-3072

    Josh Soref a découvert un plantage dans le décodeur BinHex (MFSA 2010-07).

  • CVE-2009-3075

    Carsten Book a signalé un plantage dans le moteur JavaScript (MFSA 2010-07).

  • CVE-2010-0163

    Ludovic Hirlimann a signalé un plantage d'indexage de certains messages avec pièces jointes. Cela pourrait permettre l'exécution de code arbitraire (MFSA 2010-07).

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.0.0.24-0lenny1.

À cause d'un problème avec le système d'archive, toutes les architectures n'ont pas pu être publiées. Les architectures manquantes seront installées dans l'archive dès qu'elles seront disponibles.

Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets icedove.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24.orig.tar.gz
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1.dsc
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_alpha.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_alpha.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_alpha.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_amd64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_amd64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_amd64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_arm.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_arm.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_arm.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_hppa.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_hppa.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_hppa.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_i386.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_i386.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_i386.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_ia64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_ia64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_ia64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_ia64.deb
PowerPC:
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_powerpc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.