Bulletin d'alerte Debian

DSA-2458-2 iceape -- Plusieurs vulnérabilités

Date du rapport :
13 mai 2012
Paquets concernés :
iceape
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-0455, CVE-2012-0456, CVE-2012-0458, CVE-2012-0461, CVE-2012-0467, CVE-2012-0470, CVE-2012-0471, CVE-2012-0477, CVE-2012-0479.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la suite Internet Iceape, une version sans marque de Seamonkey.

  • CVE-2012-0455

    Soroush Dalili a découvert qu'une protection contre un script intersite lié aux URL JavaScript pourrait être contournée.

  • CVE-2012-0456

    Atte Kettunen a découvert une lecture hors limites dans les filtres SVG, avec pour conséquence une divulgation de mémoire.

  • CVE-2012-0458

    Mariusz Mlynski a découvert une possibilité d'augmentation de droits à l'aide d'une URL JavaScript en tant que page d'accueil.

  • CVE-2012-0461

    Bob Clary a découvert des bogues de corruption de mémoire, ce qui pourrait conduire à l'exécution de code arbitraire.

  • CVE-2012-0467

    Bob Clary, Christian Holler, Brian Hackett, Bobby Holley, Gary Kwong, Hilary Hall, Honza Bambas, Jesse Ruderman, Julian Seward et Olli Pettay ont découvert des bogues de corruption de mémoire qui pourraient conduire à l'exécution de code arbitraire.

  • CVE-2012-0470

    Atte Kettunen a découvert qu'un bogue de corruption de mémoire dans gfxImageSurface pourrait conduire à l'exécution de code arbitraire.

  • CVE-2012-0471

    Anne van Kesteren a découvert qu'un encodage incorrect de caractère multioctet pourrait conduire à un script intersite.

  • CVE-2012-0477

    Masato Kinugawa a découvert que l'encodage de caractères coréens et chinois pourrait conduire à un script intersite.

  • CVE-2012-0479

    Jeroen van der Gun a découvert une vulnérabilité d'usurpation dans la présentation des flux Atom et RSS par HTTPS.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.0.11-12

Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets iceape.