Säkerhetsbulletin från Debian

DSA-2458-2 iceape -- flera sårbarheter

Rapporterat den:
2012-05-13
Berörda paket:
iceape
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2012-0455, CVE-2012-0456, CVE-2012-0458, CVE-2012-0461, CVE-2012-0467, CVE-2012-0470, CVE-2012-0471, CVE-2012-0477, CVE-2012-0479.
Ytterligare information:

Flera sårbarheter har upptäckts i internetuppsättningen av program med namnet Iceape, en omärkt version av Seamonkey:

  • CVE-2012-0455

    Soroush Dalili upptäckte att en motåtgärd mot domänöverskridande skriptangrepp relaterade till JavaScript-URLer kunde förbigås.

  • CVE-2012-0456

    Atte Kettunen upptäckte att en läsning utanför gränserna i SVG-filter kunde resultera i avslöjande av minne.

  • CVE-2012-0458

    Mariusz Mlynski uppcäkte att rättigheter kunde ökas genom en JavaScript-URL som hemsida.

  • CVE-2012-0461

    Bob Clary upptäckte minneskorruptionsfel, som kan leda till körning av illasinnad kod.

  • CVE-2012-0467

    Bob Clary, Christian Holler, Brian Hackett, Bobby Holley, Gary Kwong, Hilary Hall, Honza Bambas, Jesse Ruderman, Julian Seward, och Olli Pettay upptäckte minneskorruptionsfel, som kan leda till körning av godtycklig kod.

  • CVE-2012-0470

    Atte Kettunen upptäckte att ett minneskorruptionsfel i gfxImageSurface kan leda till körning av illasinnad kod.

  • CVE-2012-0471

    Anne van Kesteren upptäckte att felaktig multibyteteckenkodning kan keda till domänöverskridande skriptning.

  • CVE-2012-0477

    Masato Kinugawa upptäckte att felaktig kodning av Koreanska och Kinesiska tecken kan leda till domänöverskridande skriptangrepp.

  • CVE-2012-0479

    Jeroen van der Guin upptäckte en förfalskningssårbarhet i presentationen av Atom och Rss-flöden över HTTPS.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.0.11-12

För den instabila utgåvan (Sid) kommer detta problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era iceape-paket.