Debian セキュリティ勧告

DSA-2762-1 icedove -- 複数の脆弱性

報告日時:
2013-09-23
影響を受けるパッケージ:
icedove
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-1718, CVE-2013-1722, CVE-2013-1725, CVE-2013-1730, CVE-2013-1732, CVE-2013-1735, CVE-2013-1736, CVE-2013-1737.
詳細:

セキュリティ問題が複数 Icedove、Debian 版の Mozilla Thunderbird メール及びニュースクライアントに見つかっています。 メモリの安全性の複数の誤りやバッファオーバーフローが 任意のコードの実行につながる可能性があります。

旧安定版 (oldstable) ディストリビューション (squeeze) にあるバージョンの Icedove は完全なセキュリティ更新でのサポート対象ではなくなっています。 しかし、Icedove のセキュリティ問題はほとんど全てが、 収録しているブラウザエンジンに起因していることには着目すべきでしょう。 こういったセキュリティ問題は Icedove でスクリプトや HTML メールを有効にしている場合にのみ影響します。Icedove 特有のセキュリティ問題 (例えば仮に IMAP 実装にバッファオーバーフロー) があれば、私たちはそういった修正を旧安定版 (oldstable) にバックポートします。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 17.0.9-1~deb7u1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) ではこの問題は近く修正予定です。

直ちに icedove パッケージをアップグレードすることを勧めます。