Bulletin d'alerte Debian

DSA-2187-1 icedove -- Plusieurs vulnérabilités

Date du rapport :
9 mars 2011
Paquets concernés :
icedove
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2010-1585, CVE-2011-0051, CVE-2011-0053, CVE-2011-0054, CVE-2011-0055, CVE-2011-0056, CVE-2011-0057, CVE-2011-0059.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Icedove, une version sans marque du client de messagerie et de groupes de discussion Thunderbird.

  • CVE-2010-1585

    Roberto Suggi Liverani a découvert que la vérification réalisée par ParanoidFragmentSink était incomplète.

  • CVE-2011-0051

    Zach Hoffmann a découvert que l'analyse incorrecte d'appels eval() récursifs pouvait permettre aux attaquants de forcer la confirmation d'une boîte de dialogue.

  • CVE-2011-0053

    Des plantages dans le moteur de mise en page peuvent permettre l'exécution de code arbitraire.

  • CVE-2011-0054, CVE-2010-0056

    Christian Holler a découvert des débordements de tampon dans le moteur Javascript qui peuvent permettre l'exécution de code arbitraire.

  • CVE-2011-0055

    regenrecht et Igor Bukanov ont découvert une erreur d'utilisation de mémoire après libération (use-after-free) dans l'implémentation de JSON. Cela pourrait permettre l'exécution de code arbitraire.

  • CVE-2011-0057

    Daniel Kozlowski a découvert que l'implémentation incorrecte de mémoire traitant les web workers pourrait permettre l'exécution de code arbitraire.

  • CVE-2011-0059

    Peleus Uhley a découvert un risque de requête intersite contrefaite dans le code des greffons.

Conformément aux notes de publication de Lenny (oldstable), le suivi en sécurité des paquets Icedove de oldstable a dû être arrêté avant la fin du cycle de vie normal de Lenny en matière de suivi en sécurité. Nous vous recommandons fortement de mettre à niveau vers stable, ou de basculer vers un autre client de messagerie.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.0.11-1+squeeze1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.0.11-2.

Nous vous recommandons de mettre à jour vos paquets icedove.