Bulletin d'alerte Debian

DSA-2437-1 icedove -- Plusieurs vulnérabilités

Date du rapport :
21 mars 2012
Paquets concernés :
icedove
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-0455, CVE-2012-0456, CVE-2012-0458, CVE-2012-0461.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Icedove, une version sans marque du client de courrier électronique et lecteur de nouvelles Thunderbird.

  • CVE-2012-0455

    Soroush Dalili a découvert qu'une protection contre un script intersite lié aux URL JavaScript pourrait être contournée.

  • CVE-2012-0456

    Atte Kettunen a découvert une lecture hors limites dans les filtres SVG, avec pour conséquence une divulgation de mémoire.

  • CVE-2012-0458

    Mariusz Mlynski a découvert une possibilité d'augmentation de droits à l'aide d'une URL JavaScript en tant que page d'accueil.

  • CVE-2012-0461

    Bob Clary a découvert des bogues de corruption de mémoire, ce qui pourrait conduire à l'exécution de code arbitraire.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.0.11-1+squeeze8.

Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets icedove.