Debians sikkerhedsbulletin

DSA-2768-1 icedtea-web -- heapbaseret bufferoverløb

Rapporteret den:
4. okt 2013
Berørte pakker:
icedtea-web
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 723118.
I Mitres CVE-ordbog: CVE-2013-4349.
Yderligere oplysninger:

En heapbaseret bufferoverløbssårbarhed blev fundet i icedtea-web, en webbrowserplugin til kørsel af applets skrevet i programmeringssproget Java. Hvis en bruger blev narret til at tilgå et ondsindet websted, kunne en angriber forårsage at plugin'en gik ned eller muligvis udførte vilkårlig kode, som brugeren, der kører programmet.

Problemet blev oprindelig opdaget af Arthur Gerkis og fik tildelt CVE-2012-4540. Rettelser er foretaget i 1.1-, 1.2- og 1.3-forgreningerne, men ikke til 1.4-forgreningen.

I den stabile distribution (wheezy), er dette problem rettet i version 1.4-3~deb7u2.

I den ustabile distribution (sid), er dette problem rettet i version 1.4-3.1.

Vi anbefaler at du opgraderer dine icedtea-web-pakker.