Debian セキュリティ勧告

DSA-2797-1 icedove -- 複数の脆弱性

報告日時:
2013-11-13
影響を受けるパッケージ:
icedove
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-5590, CVE-2013-5595, CVE-2013-5597, CVE-2013-5599, CVE-2013-5600, CVE-2013-5601, CVE-2013-5602, CVE-2013-5604.
詳細:

セキュリティ問題が複数 Icedove、Debian 版の Mozilla Thunderbird メール及びニュースクライアントに見つかりました。メモリの安全性の複数の誤りや その他の実装の誤りが任意のコードの実行につながる可能性があります。

旧安定版 (oldstable) ディストリビューション (squeeze) にあるバージョンの Icedove は完全なセキュリティ更新でのサポート対象ではなくなっています。 しかし、Icedove のセキュリティ問題はほとんど全てが、 収録しているブラウザエンジンに起因していることには着目すべきでしょう。 こういったセキュリティ問題は Icedove でスクリプトや HTML メールを有効にしている場合にのみ影響します。Icedove 特有のセキュリティ問題 (例えば仮に IMAP 実装にバッファオーバーフロー) があれば、私たちはそういった修正を旧安定版 (oldstable) にバックポートします。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 17.0.10-1~deb7u1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 17.0.10-1 で修正されています。

直ちに icedove パッケージをアップグレードすることを勧めます。