Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2406-1 icedove

Bulletin d'alerte Debian

DSA-2406-1 icedove -- Plusieurs vulnérabilités

Date du rapport :

9 février 2012

Paquets concernés :

icedove

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-3670, CVE-2012-0442, CVE-2012-0444, CVE-2012-0449.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Icedove, la variante Debian de Mozilla Thunderbird.

• CVE-2011-3670

  Icedove n'impose pas correctement la syntaxe d'adresse littérale IPv6. Cela permet aux attaquants distants d'obtenir des renseignements sensibles en réalisant des appels XMLHttpRequest par l'intermédiaire d'un serveur mandataire (proxy) et en lisant les messages d'erreur.

• CVE-2012-0442

  Des bogues de corruption de mémoire pourraient forcer Icedove à planter ou éventuellement exécuter du code arbitraire.

• CVE-2012-0444

  Icedove n'initialise pas correctement les structures de données nsChildView. Cela permet aux attaquants distants de provoquer un déni de service (corruption de mémoire et plantage d'application) ou éventuellement exécuter du code arbitraire à l'aide d'un fichier Ogg Vorbis contrefait.

• CVE-2012-0449

  Icedove permet aux attaquants distants de provoquer un déni de service (corruption de mémoire et plantage d'application) ou éventuellement exécuter du code arbitraire à l'aide d'une feuille de style XSLT contrefaite et intégrée dans un document.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.0.11-1+squeeze7.

Nous vous recommandons de mettre à jour vos paquets icedove.