Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2402-1 iceape

Bulletin d'alerte Debian

DSA-2402-1 iceape -- Plusieurs vulnérabilités

Date du rapport :

2 février 2012

Paquets concernés :

iceape

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-3670, CVE-2012-0442, CVE-2012-0444, CVE-2012-0449.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la suite Internet Iceape, une version sans marque de Seamonkey.

• CVE-2011-3670

  Gregory Fleischer a découvert que les URL IPv6 n'étaient pas correctement analysées, avec pour conséquence une éventuelle divulgation d'informations.

• CVE-2012-0442

  Jesse Ruderman et Bob Clary ont découvert des bogues de corruption de mémoire, ce qui pourrait conduire à l'exécution de code arbitraire.

• CVE-2012-0444

  regenrecht a découvert que l'absence de vérification des entrées dans l'analyseur Ogg Vorbis pourrait conduire à l'exécution de code arbitraire.

• CVE-2012-0449

  Nicolas Gregoire et Aki Helin ont découvert que des vérifications d'entrée manquantes dans le traitement XSLT pourraient conduire à l'exécution de code arbitraire.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.0.11-10.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.0.14-10.

Nous vous recommandons de mettre à jour vos paquets iceape.