Bulletin d'alerte Debian

DSA-3600-1 firefox-esr -- Mise à jour de sécurité

Date du rapport :
9 juin 2016
Paquets concernés :
firefox-esr
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-2818, CVE-2016-2819, CVE-2016-2821, CVE-2016-2822, CVE-2016-2828, CVE-2016-2831.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans le navigateur web Firefox de Mozilla : plusieurs erreurs de sécurité de la mémoire, dépassements de tampon et autres erreurs d'implémentation pourraient conduire à l'exécution de code arbitraire ou à un problème d'usurpation.

Attendez, Firefox ? Plus de références à Iceweasel ? C'est exact, Debian n'emploie plus de marque personnalisée. Veuillez consulter ces liens pour plus d'information : https://glandium.org/blog/?p=3622, https://en.wikipedia.org/wiki/Mozilla_software_rebranded_by_Debian

Debian suit les éditions longue durée (extended support releases - ESR) de Firefox. Le suivi des séries 38.x est terminé, aussi, à partir de cette mise à jour, Debian suit les versions 45.x. Cette mise à jour vers la nouvelle version ESR marque aussi le moment où Debian emploie de nouveau la marque originale.

Des paquets de transition pour Iceweasel sont fournis et ils assurent la mise à niveau vers la nouvelle version. Dans la mesure où de nouveaux paquets binaires doivent être installés, assurez-vous de l'autoriser lors de la procédure de mise à niveau (par exemple en utilisant la commande apt-get dist-upgrade à la place de apt-get upgrade).

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 45.2.0esr-1~deb8u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 45.2.0esr-1.

Nous vous recommandons de mettre à jour vos paquets firefox-esr.