Debians sikkerhedsbulletin
DSA-2406-1 icedove -- flere sårbarheder
- Rapporteret den:
- 9. feb 2012
- Berørte pakker:
- icedove
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2011-3670, CVE-2012-0442, CVE-2012-0444, CVE-2012-0449.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i Icedove, Debians variant af Mozilla Thunderbird-kodebasen.
- CVE-2011-3670
Icedove håndhævede ikke på korrekt vis IPv6's literal adresse-syntaks, hvilket gjorde det muligt for fjernangribere, at få fat i følsomme oplysninger, ved at foretage XMLHttpRequest-kald gennem en proxy efterfulgt af læsning af fejlmeddelelserne.
- CVE-2012-0442
Hukommelseskorruptionsfejl kunne få Icedove til at gå ned eller muligvis udføre vilkårlig kode.
- CVE-2012-0444
Icedove initialiserede ikke på korrekt vis nsChildView-datastrukturer, hvilket gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (hukommelseskorruption og applikationsnedbrud) eller muligvis udføre vilkårlig kode via en fabrikeret Ogg Vorbis-fil.
- CVE-2012-0449
Icedove gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (hukommelseskorruption og applikationsnedbrud) eller muligvis udføre vilkårlig kode via et misdannet XSLT-stylesheet, der er indlejret i et dokument.
I den stabile distribution (squeeze), er dette problem rettet i version 3.0.11-1+squeeze7.
Vi anbefaler at du opgraderer dine icedove-pakker.
- CVE-2011-3670