Bulletin d'alerte Debian

DSA-2762-1 icedove -- Plusieurs vulnérabilités

Date du rapport :
23 septembre 2013
Paquets concernés :
icedove
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-1718, CVE-2013-1722, CVE-2013-1725, CVE-2013-1730, CVE-2013-1732, CVE-2013-1735, CVE-2013-1736, CVE-2013-1737.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans Icedove, la version de Debian du client de messagerie et de nouvelles Mozilla Thunderbird. Plusieurs erreurs de sécurité de la mémoire et dépassements de tampon pourraient conduire à l'exécution de code arbitraire.

La version d'Icedove dans la distribution oldstable (Squeeze) n'est plus prise en charge par des mises à jour de sécurité. Cependant, il est à noter que presque tous les problèmes de sécurité d'Icedove proviennent du moteur de navigation inclus. Ces problèmes de sécurité n'affectent Icedove que si les scripts et courriels en HTML sont activés. S'il existe des problèmes de sécurité spécifiques à Icedove (comme un hypothétique dépassement de tampon dans l'implémentation d'IMAP), nous nous efforcerons de rétroporter les correctifs dans oldstable.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 17.0.9-1~deb7u1.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets icedove.