Debian セキュリティ勧告

DSA-2437-1 icedove -- 複数の脆弱性

報告日時:
2012-03-21
影響を受けるパッケージ:
icedove
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2012-0455, CVE-2012-0456, CVE-2012-0458, CVE-2012-0461.
詳細:

Mozilla Thunderbird コードに基づく Debian の派生メーラ/ニュースクラ イアント Icedove に、複数の問題が発見されました。

  • CVE-2012-0455

    Soroush Dalili さんにより、JavaScript URL に対するクロスサイトス クリプティング攻撃への対策が迂回可能であることが発見されました。

  • CVE-2012-0456

    Atte Kettunen さんにより、SVG フィルタに範囲外のメモリ読み出しがあ り、メモリ内容の漏洩に繋がることが発見されました。

  • CVE-2012-0458

    Mariusz Mlynski さんにより、ホームページに Javascript URL を指定す ることにより特権の昇格が行えることが発見されました。

  • CVE-2012-0461

    Bob Clary さんにより、任意のコードの実行に繋がるメモリ破壊バグが発 見されました。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン icedove 3.0.11-1+squeeze8 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題は近く 修正予定です。

直ぐに icedove パッケージをアップグレードすることを勧めます。