Säkerhetsbulletin från Debian

DSA-2312-1 iceape -- flera sårbarheter

Rapporterat den:
2011-09-29
Berörda paket:
iceape
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2011-2372, CVE-2011-2995, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000.
Ytterligare information:

Flera sårbarheter har upptäckts i internetuppsättningen av program Iceape, en omärkt version av Seamonkey:

  • CVE-2011-2372

    Mariusz Mlynski upptäckte att webbplatser kunde öppna en hämtningsdialog - som har öppna som standardalternativ -, medan en användare trycket på Enter-knappen.

  • CVE-2011-2995

    Benjamin Smedberg, Bob Clary och Jesse Ruderman upptäckte krascher i renderingsmotorn som kunde leda till körning av godtycklig kod.

  • CVE-2011-2998

    Mark Kaplan upptäckte ett heltalsunderspill i JavaScript-motorn, som kunde leda till exekvering av godtycklig kod.

  • CVE-2011-2999

    Boris Zbarsky upptäckte att felaktig hantering av objektet window.location kunde leda till förbigång av same-origin-policyn.

  • CVE-2011-3000

    Ian Graham upptäckte att flera plats-rubriker kan leda till CRLF-injicering.

Den gamla stabila utgåvan (Lenny) påverkas inte. Iceape-paketet tillhandahåller endast XPCOM-koden.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.0.11-8. Denna uppdatering markerar även de kompromissade DigiNotar-rootcertifikaten som återkallade istället för opålitliga.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.0.14-8.

Vi rekommenderar att ni uppgraderar era iceape-paket.