Debians sikkerhedsbulletin

DSA-2317-1 icedove -- flere sårbarheder

Rapporteret den:
5. okt 2011
Berørte pakker:
icedove
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-2372, CVE-2011-2995, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000.
Yderligere oplysninger:
  • CVE-2011-2372

    Mariusz Mlynski opdagede at websteder kunne åbne en downloaddialog, der har open som sin standardhandling, men en bruger trykkede på enter-tasten.

  • CVE-2011-2995

    Benjamin Smedberg, Bob Clary og Jesse Ruderman opdagede nedbrud i renderingmaskinen, hvilket kunne føre til udførelse af vilkårlig kode.

  • CVE-2011-2998

    Mark Kaplan opdagede et heltalsunderløb i JavaScript-maskinen, hvilket kunne føre til udførelse af vilkårlig kode.

  • CVE-2011-2999

    Boris Zbarsky opdagede ukorrekt håndtering af objektet window.location kunne føre til omgåelse af samme ophav-reglen.

  • CVE-2011-3000

    Ian Graham opdagede at flere Location-headere måske kunne føre til en CRLF-indsprøjtning.

Som angivet i udgivelsesbemærkningerne til Lenny (oldstable), var det nødvendigt at lade sikkerhedsunderstøttelsen af Icedove-pakkerne i den gamle stabile distribution stoppe før ophøret af Lennys regulære livscyklus med sikkerhedsopdateringer. Du opfordres kraftigt til at opgradere til den stabile distribution eller skifte til en anden mailklient.

I den stabile distribution (squeeze), er dette problem rettet i version 3.0.11-1+squeeze5.

I den ustabile distribution (sid), er dette problem rettet i version 3.1.15-1.

Vi anbefaler at du opgraderer dine icedove-pakker.