Debians sikkerhedsbulletin
DSA-2187-1 icedove -- flere sårbarheder
- Rapporteret den:
- 9. mar 2011
- Berørte pakker:
- icedove
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2010-1585, CVE-2011-0051, CVE-2011-0053, CVE-2011-0054, CVE-2011-0055, CVE-2011-0056, CVE-2011-0057, CVE-2011-0059.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i Icedove, en mærkevarefri udgave af mail-/news-klienten Thunderbird.
- CVE-2010-1585
Roberto Suggi Liverani opdagede at fornuftighedskontrollen udført af ParanoidFragmentSink ikke var komplet.
- CVE-2011-0051
Zach Hoffmann opdagede at ukorrekt fortolkning af rekursive eval()-kald kunne medføre at angribere kunne gennemtvinge accept af en bekræftelsesdialog.
- CVE-2011-0053
Nedbrud i layoutmaskinen kunne måske føre til udførelse af vilkårlig kode.
- CVE-2011-0054,
CVE-2010-0056
Christian Holler opdagede bufferoverløb i JavaScript-maskinen, hvilke kunne gøre det muligt at udføre vilkårlig kode.
- CVE-2011-0055
regenrecht
og Igor Bukanov opdagede anvendelse efter frigivelse-fejl i JSON-Implementation, som kunne føre til udførelse af vilkårlig kode. - CVE-2011-0057
Daniel Kozlowski opdagede at ukorrekt hukommelseshåndtering i implementeringen af webworkers kunne føre til udførelse af vilkårlig kode.
- CVE-2011-0059
Peleus Uhley opdagede en risiko for forespørgelsesforfalskning på tværs af websteder i pluginkoden.
Som angivet i udgivelsesbemærkningerne til Lenny (oldstable), var det nødvendigt at lade sikkerhedsunderstøttelsen af Icedove-pakkerne i den gamle stabile distribution stoppe før ophøret af Lennys regulære livscyklus med sikkerhedsopdateringer. Du opfordres kraftigt til at opgradere til den stabile distribution eller skifte til en anden mailklient.
I den stabile distribution (squeeze), er dette problem rettet i version 3.0.11-1+squeeze1.
I den ustabile distribution (sid), er dette problem rettet i version 3.0.11-2.
Vi anbefaler at du opgraderer dine icedove-pakker.
- CVE-2010-1585