Bulletin d'alerte Debian

DSA-2406-1 icedove -- Plusieurs vulnérabilités

Date du rapport :
9 février 2012
Paquets concernés :
icedove
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-3670, CVE-2012-0442, CVE-2012-0444, CVE-2012-0449.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Icedove, la variante Debian de Mozilla Thunderbird.

  • CVE-2011-3670

    Icedove n'impose pas correctement la syntaxe d'adresse littérale IPv6. Cela permet aux attaquants distants d'obtenir des renseignements sensibles en réalisant des appels XMLHttpRequest par l'intermédiaire d'un serveur mandataire (proxy) et en lisant les messages d'erreur.

  • CVE-2012-0442

    Des bogues de corruption de mémoire pourraient forcer Icedove à planter ou éventuellement exécuter du code arbitraire.

  • CVE-2012-0444

    Icedove n'initialise pas correctement les structures de données nsChildView. Cela permet aux attaquants distants de provoquer un déni de service (corruption de mémoire et plantage d'application) ou éventuellement exécuter du code arbitraire à l'aide d'un fichier Ogg Vorbis contrefait.

  • CVE-2012-0449

    Icedove permet aux attaquants distants de provoquer un déni de service (corruption de mémoire et plantage d'application) ou éventuellement exécuter du code arbitraire à l'aide d'une feuille de style XSLT contrefaite et intégrée dans un document.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.0.11-1+squeeze7.

Nous vous recommandons de mettre à jour vos paquets icedove.