Säkerhetsbulletin från Debian

DSA-2406-1 icedove -- flera sårbarheter

Rapporterat den:
2012-02-09
Berörda paket:
icedove
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2011-3670, CVE-2012-0442, CVE-2012-0444, CVE-2012-0449.
Ytterligare information:

Flera sårbarheter har upptäckts i Icedove, Debians variant av kodbasen Mozilla Thunderbird.

  • CVE-2011-3670

    Icedove tvingar inte IPv6 bokstavlig adresssyntax ordentligt, vilket tillåter fjärrangripare att få känslig information genom att göra XMLHttpRequest-anrop genom en proxy och läsa dess felmeddelanden.

  • CVE-2012-0442

    Minneskorruptionsfel kunde orsaka Icedove att krascha eller möjligen att köra godtycklig kod.

  • CVE-2012-0444

    Icedove initierar inte nsChildView-datastrukturer ordentligt, vilket kan tillåta fjärrangripare att orsaka en överbelastning (minneskorruption och applikationskrasch) eller möjligen att köra godtycklig kod via en skapad Ogg Vorbis-fil.

  • CVE-2012-0449

    Icedove tillåter fjärrangripare att orsaka en överbelastning (minneskorruption och applikationskrasch) eller möjligen att köra godtycklig kod via en felaktigt formaterad XSLT-stilmall som inbäddas i ett dokument.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 3.0.11-1+squeeze7.

Vi rekommenderar att ni uppgraderar era icedove-paket.