Debian-Sicherheitsankündigung

DSA-1391-1 icedove -- Mehrere Verwundbarkeiten

Datum des Berichts:
19. Okt 2007
Betroffene Pakete:
icedove
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2007-3734, CVE-2007-3735, CVE-2007-3844, CVE-2007-3845, CVE-2007-5339, CVE-2007-5340.
Weitere Informationen:

Mehrere entfernt ausnutzbare Verwundbarkeiten wurden im Icedove-E-Mail-Client entdeckt, einer wegen Markenproblemen umbenannten Version des Thunderbird-Clients. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme:

  • CVE-2007-3734

    Bernd Mielke, Boris Zbarsky, David Baron, Daniel Veditz, Jesse Ruderman, Lukas Loehrer, Martijn Wargers, Mats Palmgren, Olli Pettay, Paul Nickerson und Vladimir Sukhoy entdeckten Abstürze in der Layout-Engine, was die Ausführung beliebigen Codes ermöglichen könnte.

  • CVE-2007-3735

    Asaf Romano, Jesse Ruderman und Igor Bukanov entdeckten Abstürze in der JavaScript-Engine, was die Ausführung beliebigen Codes ermöglichen könnte.

  • CVE-2007-3844

    moz_bug_r_a4 entdeckte, dass eine Regression im Umgang mit den von zusätzlicher Software (Addons) genutzten about:blank-Fenstern dazu führen kann, dass Angreifer den Inhalt von Web-Sites ändern können.

  • CVE-2007-3845

    Jesper Johansson entdeckte, dass eine fehlende Bereinigung von doppelten Anführungszeichen und Leerzeichen in an externe Programme übergebene URIs einem Angreifer ermöglichen kann, beliebige Argumente an das Hilfsprogramm zu übergeben, falls der Benutzer ausgetrickst wird, eine missgestaltete Webseite zu öffnen.

  • CVE-2007-5339

    L. David Baron, Boris Zbarsky, Georgi Guninski, Paul Nickerson, Olli Pettay, Jesse Ruderman, Vladimir Sukhoy, Daniel Veditz und Martijn Wargers entdeckten Abstürze in der Layout-Engine, was die Ausführung beliebigen Codes ermöglichen könnte.

  • CVE-2007-5340

    Igor Bukanov, Eli Friedman und Jesse Ruderman entdeckten Abstürze in der JavaScript-Engine, was die Ausführung beliebigen Codes ermöglichen kann. Es wird im Allgemeinen nicht empfohlen, JavaScript in Icedove zu aktivieren.

Die Mozilla-Produkte in der alten Stable-Distribution (Sarge) werden nicht mehr mit Sicherheitsaktualisierungen versorgt.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 1.5.0.13+1.5.0.14b.dfsg1-0etch1 behoben. Builds für HPPA werden später bereitgestellt.

Für die Unstable-Distribution (Sid) werden diese Probleme bald behoben sein.

Wir empfehlen Ihnen, Ihre icedove-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (etch)

Quellcode:
http://security.debian.org/pool/updates/main/i/icedove/icedove_1.5.0.13+1.5.0.14b.dfsg1-0etch1.dsc
http://security.debian.org/pool/updates/main/i/icedove/icedove_1.5.0.13+1.5.0.14b.dfsg1-0etch1.diff.gz
http://security.debian.org/pool/updates/main/i/icedove/icedove_1.5.0.13+1.5.0.14b.dfsg1.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/i/icedove/mozilla-thunderbird-dev_1.5.0.13+1.5.0.14b.dfsg1-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/icedove/mozilla-thunderbird-inspector_1.5.0.13+1.5.0.14b.dfsg1-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/icedove/mozilla-thunderbird-typeaheadfind_1.5.0.13+1.5.0.14b.dfsg1-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/icedove/mozilla-thunderbird_1.5.0.13+1.5.0.14b.dfsg1-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/icedove/thunderbird-dbg_1.5.0.13+1.5.0.14b.dfsg1-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/icedove/thunderbird-dev_1.5.0.13+1.5.0.14b.dfsg1-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/icedove/thunderbird-gnome-support_1.5.0.13+1.5.0.14b.dfsg1-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/icedove/thunderbird-inspector_1.5.0.13+1.5.0.14b.dfsg1-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/icedove/thunderbird-typeaheadfind_1.5.0.13+1.5.0.14b.dfsg1-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/icedove/thunderbird_1.5.0.13+1.5.0.14b.dfsg1-0etch1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/i/icedove/icedove_1.5.0.13+1.5.0.14b.dfsg1-0etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_1.5.0.13+1.5.0.14b.dfsg1-0etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_1.5.0.13+1.5.0.14b.dfsg1-0etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_1.5.0.13+1.5.0.14b.dfsg1-0etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-inspector_1.5.0.13+1.5.0.14b.dfsg1-0etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-typeaheadfind_1.5.0.13+1.5.0.14b.dfsg1-0etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/i/icedove/icedove_1.5.0.13+1.5.0.14b.dfsg1-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_1.5.0.13+1.5.0.14b.dfsg1-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_1.5.0.13+1.5.0.14b.dfsg1-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_1.5.0.13+1.5.0.14b.dfsg1-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-inspector_1.5.0.13+1.5.0.14b.dfsg1-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-typeaheadfind_1.5.0.13+1.5.0.14b.dfsg1-0etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/i/icedove/icedove_1.5.0.13+1.5.0.14b.dfsg1-0etch1_arm.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_1.5.0.13+1.5.0.14b.dfsg1-0etch1_arm.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_1.5.0.13+1.5.0.14b.dfsg1-0etch1_arm.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_1.5.0.13+1.5.0.14b.dfsg1-0etch1_arm.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-inspector_1.5.0.13+1.5.0.14b.dfsg1-0etch1_arm.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-typeaheadfind_1.5.0.13+1.5.0.14b.dfsg1-0etch1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/i/icedove/icedove_1.5.0.13+1.5.0.14b.dfsg1-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_1.5.0.13+1.5.0.14b.dfsg1-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_1.5.0.13+1.5.0.14b.dfsg1-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_1.5.0.13+1.5.0.14b.dfsg1-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-inspector_1.5.0.13+1.5.0.14b.dfsg1-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-typeaheadfind_1.5.0.13+1.5.0.14b.dfsg1-0etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/i/icedove/icedove_1.5.0.13+1.5.0.14b.dfsg1-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_1.5.0.13+1.5.0.14b.dfsg1-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_1.5.0.13+1.5.0.14b.dfsg1-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_1.5.0.13+1.5.0.14b.dfsg1-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-inspector_1.5.0.13+1.5.0.14b.dfsg1-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-typeaheadfind_1.5.0.13+1.5.0.14b.dfsg1-0etch1_ia64.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/i/icedove/icedove_1.5.0.13+1.5.0.14b.dfsg1-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_1.5.0.13+1.5.0.14b.dfsg1-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_1.5.0.13+1.5.0.14b.dfsg1-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_1.5.0.13+1.5.0.14b.dfsg1-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-inspector_1.5.0.13+1.5.0.14b.dfsg1-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-typeaheadfind_1.5.0.13+1.5.0.14b.dfsg1-0etch1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/i/icedove/icedove_1.5.0.13+1.5.0.14b.dfsg1-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_1.5.0.13+1.5.0.14b.dfsg1-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_1.5.0.13+1.5.0.14b.dfsg1-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_1.5.0.13+1.5.0.14b.dfsg1-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-inspector_1.5.0.13+1.5.0.14b.dfsg1-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-typeaheadfind_1.5.0.13+1.5.0.14b.dfsg1-0etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/i/icedove/icedove_1.5.0.13+1.5.0.14b.dfsg1-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_1.5.0.13+1.5.0.14b.dfsg1-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_1.5.0.13+1.5.0.14b.dfsg1-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_1.5.0.13+1.5.0.14b.dfsg1-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-inspector_1.5.0.13+1.5.0.14b.dfsg1-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-typeaheadfind_1.5.0.13+1.5.0.14b.dfsg1-0etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/i/icedove/icedove_1.5.0.13+1.5.0.14b.dfsg1-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_1.5.0.13+1.5.0.14b.dfsg1-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_1.5.0.13+1.5.0.14b.dfsg1-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_1.5.0.13+1.5.0.14b.dfsg1-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-inspector_1.5.0.13+1.5.0.14b.dfsg1-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-typeaheadfind_1.5.0.13+1.5.0.14b.dfsg1-0etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/i/icedove/icedove_1.5.0.13+1.5.0.14b.dfsg1-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_1.5.0.13+1.5.0.14b.dfsg1-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_1.5.0.13+1.5.0.14b.dfsg1-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_1.5.0.13+1.5.0.14b.dfsg1-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-inspector_1.5.0.13+1.5.0.14b.dfsg1-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/icedove/icedove-typeaheadfind_1.5.0.13+1.5.0.14b.dfsg1-0etch1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.