Säkerhetsbulletin från Debian

DSA-2768-1 icedtea-web -- heapbaserat buffertspill

Rapporterat den:
2013-10-04
Berörda paket:
icedtea-web
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 723118.
I Mitres CVE-förteckning: CVE-2013-4349.
Ytterligare information:

Ett heapbaserat buffertspill har upptäckts i icedtea-web, en insticksmodul för webbläsare för att köra applets skrivna i programmeringsspråket Java. Om en användare lurades till att öppna en skadlig webbplats kunde en angripare få appleten att krascha eller möjligen köra skadlig kod som användaren som kör programmet.

Detta problem upptäcktes ursprungligen av Arthur Gerkis och fick CVE-2012-4540 tilldelad. Rättningar har tillämpats på grenarna 1.1, 1.2 och 1.3 men inte på 1.4-grenen.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.4-3~deb7u2.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.4-3.1.

Vi rekommenderar att ni uppgraderar era icedtea-web-paket.