Säkerhetsbulletin från Debian

DSA-2025-1 icedove -- flera sårbarheter

Rapporterat den:
2010-03-31
Berörda paket:
icedove
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2009-2408, CVE-2009-2404, CVE-2009-2463, CVE-2009-3072, CVE-2009-3075, CVE-2010-0163.
Ytterligare information:

Flera utifrån nåbara sårbarheter har upptäckts i epostklienten Icedove, en märkeslös version av Thunderbird. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2009-2408

    Dan Kaminsky och Moxie Marlinspike upptäckte att icedove inte hanterar ett '\0'-tecken korrekt i ett domännamn i subjektets fält Common Name (CN) i ett X.509-certifikat (MFSA 2009-42).

  • CVE-2009-2404

    Moxie Marlinspike rapporterade en heapspillssårbarhet i den kod som hanterar reguljära uttryck i certifikatnamn (MFSA 2009-43).

  • CVE-2009-2463

    monarch2020 upptäckte ett heltalsspill i en base64-avkodande funktion (MFSA 2010-07).

  • CVE-2009-3072

    Josh Soref upptäckte en krasch i BinHex-avkodaren (MFSA 2010-07).

  • CVE-2009-3075

    Carsten Book rapporterade en krasch i JavaScript-motorn (MFSA 2010-07).

  • CVE-2010-0163

    Ludovic Hirlimann rapporterade en krasch vid indexering av vissa meddelanden med bilagor, vilket kunde leda till exekvering av godtycklig kod (MFSA 2010-07).

För den stabila utgåvan (Lenny) har dessa problem rättats i version 2.0.0.24-0lenny1.

På grund av ett problem med arkivsystemet är det inte möjligt att släppa alla arkitekturer. De saknade arkitekturerna kommer läggas in i arkivet så snart de finns tillgängliga.

För uttestningsutgåvan (Squeeze) och den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era icedove-paket.

Rättat i:

Debian GNU/Linux 5.0 (lenny)

Källkod:
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24.orig.tar.gz
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1.dsc
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_alpha.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_alpha.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_alpha.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_amd64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_amd64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_amd64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_arm.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_arm.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_arm.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_hppa.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_hppa.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_hppa.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_i386.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_i386.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_i386.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_ia64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_ia64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_ia64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_ia64.deb
PowerPC:
http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.24-0lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.24-0lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.24-0lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.24-0lenny1_powerpc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.