Bulletin d'alerte Debian

DSA-2768-1 icedtea-web -- Dépassement de tampon de tas

Date du rapport :
4 octobre 2013
Paquets concernés :
icedtea-web
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 723118.
Dans le dictionnaire CVE du Mitre : CVE-2013-4349.
Plus de précisions :

Une vulnérabilité de dépassement de tampon de tas a été découverte dans icedtea-web, un greffon de navigateur web pour exécuter des applettes écrites en langage de programmation Java. Si un utilisateur a été piégé dans l’ouverture d’un site web malveillant, un attaquant pourrait forcer le greffon à planter ou éventuellement exécuter du code arbitraire en tant qu’utilisateur invoquant le programme.

Ce problème avait initialement été découvert par Arthur Gerkis et CVE-2012-4540 lui avait été assigné. Les correctifs avaient été appliqués dans les branches 1.1, 1.2 et 1.3 mais pas dans la branche 1.4.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.4-3~deb7u2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4-3.1.

Nous vous recommandons de mettre à jour vos paquets icedtea-web.