Debians sikkerhedsbulletin

DSA-2458-2 iceape -- flere sårbarheder

Rapporteret den:
13. maj 2012
Berørte pakker:
iceape
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2012-0455, CVE-2012-0456, CVE-2012-0458, CVE-2012-0461, CVE-2012-0467, CVE-2012-0470, CVE-2012-0471, CVE-2012-0477, CVE-2012-0479.
Yderligere oplysninger:

Flere sårbarheder er opdaget i internetsuiten Iceape, en mærkevarefri udgave af Seamonkey:

  • CVE-2012-0455

    Soroush Dalili opdagede, at modforansaltninger mod udførelse af skripter op tværs af websteder i forbindelse med JavaScript-URL'er kunne omgås.

  • CVE-2012-0456

    Atte Kettunen opdagede, at en læsning uden for grænserne i SVG Filters medførte hukommelsesblotlæggelse.

  • CVE-2012-0458

    Mariusz Mlynski opdagede, at rettigheder kunne forøges ved hjælp af en JavaScript-URL som hjemmeside.

  • CVE-2012-0461

    Bob Clary opdagede hukommelseskorruptionsfejl, som måske kunne føre til udførelse af vilkårlig kode.

  • CVE-2012-0467

    Bob Clary, Christian Holler, Brian Hackett, Bobby Holley, Gary Kwong, Hilary Hall, Honza Bambas, Jesse Ruderman, Julian Seward og Olli Pettay opdagede hukommelseskorruptionsfejl, som kunne føre til udførelse af vilkårlig kode.

  • CVE-2012-0470

    Atte Kettunen opdagede, at en hukommelseskorruptionsfejl i gfxImageSurface måske kunne føre til udførelse af vilkårlig kode.

  • CVE-2012-0471

    Anne van Kesteren opdagede, at ukorrekt multibyte-tegn-encoding måske kunne føre til udførelse af skripter på tværs af websteder.

  • CVE-2012-0477

    Masato Kinugawa opdagede, at ukorrekt encoding af koreanske og kinesiske tegnsæt måske kunne føre til udførelse af skripter på tværs af websteder.

  • CVE-2012-0479

    Jeroen van der Gun opdagede en forfalskningssårbarhed i præsentationen af Atom- og RSS-feeds over HTTPS.

I den stabile distribution (squeeze), er dette problem rettet i version 2.0.11-12

I den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine iceape-pakker.