Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2312-1 iceape

Debians sikkerhedsbulletin

DSA-2312-1 iceape -- flere sårbarheder

Rapporteret den:

29. sep 2011

Berørte pakker:

iceape

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-2372, CVE-2011-2995, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000.

Yderligere oplysninger:

Flere sårbarheder er fundet i internetsuiten Iceape, en varemærkefri udgave af Seamonkey:

• CVE-2011-2372

  Mariusz Mlynski opdagede at websteder kunne åbne en downloaddialog, der har open som sin standardhandling, men en bruger trykkede på enter-tasten.

• CVE-2011-2995

  Benjamin Smedberg, Bob Clary og Jesse Ruderman opdagede nedbrud i renderingmaskinen, hvilket kunne føre til udførelse af vilkårlig kode.

• CVE-2011-2998

  Mark Kaplan opdagede et heltalsunderløb i JavaScript-maskinen, hvilket kunne føre til udførelse af vilkårlig kode.

• CVE-2011-2999

  Boris Zbarsky opdagede ukorrekt håndtering af objektet window.location kunne føre til omgåelse af samme ophav-reglen.

• CVE-2011-3000

  Ian Graham opdagede at flere Location-headere måske kunne føre til en CRLF-indsprøjtning.

Den gamle stabile distribution (lenny) er ikke påvirket. iceape-pakken indeholder kun XPCOM-koden.

I den stabile distribution (squeeze), er dette problem rettet i version 2.0.11-8. Opdateringen markerer også de kompromitterede DigiNotar-rodcertifikater som tilbagetrukne frem for at der ikke er tillid til dem.

I den ustabile distribution (sid), er dette problem rettet i version 2.0.14-8.

Vi anbefaler at du opgraderer dine iceape-pakker.