Debians sikkerhedsbulletin

DSA-2406-1 icedove -- flere sårbarheder

Rapporteret den:
9. feb 2012
Berørte pakker:
icedove
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-3670, CVE-2012-0442, CVE-2012-0444, CVE-2012-0449.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Icedove, Debians variant af Mozilla Thunderbird-kodebasen.

  • CVE-2011-3670

    Icedove håndhævede ikke på korrekt vis IPv6's literal adresse-syntaks, hvilket gjorde det muligt for fjernangribere, at få fat i følsomme oplysninger, ved at foretage XMLHttpRequest-kald gennem en proxy efterfulgt af læsning af fejlmeddelelserne.

  • CVE-2012-0442

    Hukommelseskorruptionsfejl kunne få Icedove til at gå ned eller muligvis udføre vilkårlig kode.

  • CVE-2012-0444

    Icedove initialiserede ikke på korrekt vis nsChildView-datastrukturer, hvilket gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (hukommelseskorruption og applikationsnedbrud) eller muligvis udføre vilkårlig kode via en fabrikeret Ogg Vorbis-fil.

  • CVE-2012-0449

    Icedove gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (hukommelseskorruption og applikationsnedbrud) eller muligvis udføre vilkårlig kode via et misdannet XSLT-stylesheet, der er indlejret i et dokument.

I den stabile distribution (squeeze), er dette problem rettet i version 3.0.11-1+squeeze7.

Vi anbefaler at du opgraderer dine icedove-pakker.