Рекомендация Debian по безопасности

DSA-2406-1 icedove -- несколько уязвимостей

Дата сообщения:
09.02.2012
Затронутые пакеты:
icedove
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2011-3670, CVE-2012-0442, CVE-2012-0444, CVE-2012-0449.
Более подробная информация:

В Icedove, варианте кодовой базы Mozilla Thunderbird для Debian, было обнаружено несколько уязвимостей.

  • CVE-2011-3670

    Icedove неправильно проверяет синтаксис литерального адреса IPv6, что позволяет удалённым злоумышленникам получать чувствительную информацию, выполняя вызовы XMLHttpRequest через прокси и считывая сообщения об ошибках.

  • CVE-2012-0442

    Ошибки с повреждением содержимого памяти приводят к аварийным остановкам Icedove или возможному выполнению произвольного кода.

  • CVE-2012-0444

    Icedove неправильно инициализирует структуры данных nsChildView, что позволяет удалённым злоумышленникам вызывать отказ в обслуживании (повреждение содержимого памяти и аварийная остановка приложения) или потенциально выполнять произвольный код с помощью специально сформированного файла в формате Ogg Vorbis.

  • CVE-2012-0449

    Icedove позволяет удалённым злоумышленникам вызывать отказ в обслуживании (повреждение содержимого памяти и аварийная остановка приложения) или потенциально выполнять произвольный код с помощью некорректного стилевого файла XSLT, встроенного в документ.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 3.0.11-1+squeeze7.

Рекомендуется обновить пакеты icedove.