Debians sikkerhedsbulletin

DSA-2187-1 icedove -- flere sårbarheder

Rapporteret den:
9. mar 2011
Berørte pakker:
icedove
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2010-1585, CVE-2011-0051, CVE-2011-0053, CVE-2011-0054, CVE-2011-0055, CVE-2011-0056, CVE-2011-0057, CVE-2011-0059.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Icedove, en mærkevarefri udgave af mail-/news-klienten Thunderbird.

  • CVE-2010-1585

    Roberto Suggi Liverani opdagede at fornuftighedskontrollen udført af ParanoidFragmentSink ikke var komplet.

  • CVE-2011-0051

    Zach Hoffmann opdagede at ukorrekt fortolkning af rekursive eval()-kald kunne medføre at angribere kunne gennemtvinge accept af en bekræftelsesdialog.

  • CVE-2011-0053

    Nedbrud i layoutmaskinen kunne måske føre til udførelse af vilkårlig kode.

  • CVE-2011-0054, CVE-2010-0056

    Christian Holler opdagede bufferoverløb i JavaScript-maskinen, hvilke kunne gøre det muligt at udføre vilkårlig kode.

  • CVE-2011-0055

    regenrecht og Igor Bukanov opdagede anvendelse efter frigivelse-fejl i JSON-Implementation, som kunne føre til udførelse af vilkårlig kode.

  • CVE-2011-0057

    Daniel Kozlowski opdagede at ukorrekt hukommelseshåndtering i implementeringen af webworkers kunne føre til udførelse af vilkårlig kode.

  • CVE-2011-0059

    Peleus Uhley opdagede en risiko for forespørgelsesforfalskning på tværs af websteder i pluginkoden.

Som angivet i udgivelsesbemærkningerne til Lenny (oldstable), var det nødvendigt at lade sikkerhedsunderstøttelsen af Icedove-pakkerne i den gamle stabile distribution stoppe før ophøret af Lennys regulære livscyklus med sikkerhedsopdateringer. Du opfordres kraftigt til at opgradere til den stabile distribution eller skifte til en anden mailklient.

I den stabile distribution (squeeze), er dette problem rettet i version 3.0.11-1+squeeze1.

I den ustabile distribution (sid), er dette problem rettet i version 3.0.11-2.

Vi anbefaler at du opgraderer dine icedove-pakker.