Säkerhetsbulletin från Debian

DSA-2317-1 icedove -- flera sårbarheter

Rapporterat den:
2011-10-05
Berörda paket:
icedove
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2011-2372, CVE-2011-2995, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000.
Ytterligare information:
  • CVE-2011-2372

    Mariusz Mlynski upptäckte att webbplatser kunde öppna en hämtningsdialog - som har open som standardaktivitet -, medan en användare trycker på ENTER-tangenten.

  • CVE-2011-2995

    Benjamin Smedberg, Bob Clary och Jesse Ruderman upptäckte krascher i renderingsmotorn, som kunde leda till körning av godtycklig kod.

  • CVE-2011-2998

    Mark Kaplan upptäckte ett heltalsunderspill i JavaScript-motorn, vilket kunde leda till exekvering av godtycklig kod.

  • CVE-2011-2999

    Boris Zbarsky upptäckte att felaktig hantering av window.location-objektet kunde leda till förbigång av samma-ursprung-policyn.

  • CVE-2011-3000

    Ian Graham upptäckte att flera Plats-rubriker kan leda till CRLF-injicering.

Som indikerats av versionsfakta för Lenny (gamla stabila utgåvan), måste säkerhetsstöd för Icedove-paketen i den gamla stabila utgåvan stoppas före slutet på löpande underhåll för Lennys livscykel för säkerhetsstöd. Du rekommenderas starkt att uppgradera till den stabila utgåvan eller att byta till en annan e-postklient.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 3.0.11-1+squeeze5.

För den instabila utgåvan (Sid) har detta problem rättats i version 3.1.15-1.

Vi rekommenderar att ni uppgraderar era icedove-paket.