Bulletin d'alerte Debian

DSA-1401-1 iceape -- Plusieurs vulnérabilités

Date du rapport :
5 novembre 2007
Paquets concernés :
iceape
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2007-1095, CVE-2007-2292, CVE-2007-3511, CVE-2007-5334, CVE-2007-5337, CVE-2007-5338, CVE-2007-5339, CVE-2007-5340.
Plus de précisions :

Plusieurs vulnérabilités à distance ont été découvertes dans la suite internet Iceape,une version en marque blanche de la suite internet Seamonkey. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :

  • CVE-2007-1095

    Michal Zalewski a découvert que le gestionnaire de l'événement unload avait accès à l'adresse de la ressource suivante à charger. Cela peut permettre la divulgation d'information ou l'usurpation de site.

  • CVE-2007-2292

    Stefano Di Paola a découvert qu'une validation insuffisante des noms d'utilisateurs utilisée dans l'authentification par résumé sur un site permettrait des attaques par découpages des réponses HTTP.

  • CVE-2007-3511

    On a découvert qu'une gestion peu sûre de l'élément actif du contrôleur de téléchargement des fichiers pouvait conduire à divulguer des informations. il s'agit d'une variante de la vulnérabilité CVE-2006-2894.

  • CVE-2007-5334

    Eli Friedman a découvert que des pages écrites en XUL pouvaient cacher la barre de titre des fenêtres. Cela peut conduire à des attaques par usurpation de site.

  • CVE-2007-5337

    Georgi Guninski a découvert que la gestion peu sûre des schémas de ressources smb:// et sftp:// pouvait conduire à la divulgation d'informations. Cette vulnérabilité n'est exploitable que si la gestion de Gnome-VFS est présente sur le système.

  • CVE-2007-5338

    moz_bug_r_a4 a découvert que le schéma de protection offert par XPCNativeWrappers pouvait être contourné. Cela pourrait permettre une augmentation des privilèges.

  • CVE-2007-5339

    L. David Baron, Boris Zbarsky, Georgi Guninski, Paul Nickerson, Olli Pettay, Jesse Ruderman, Vladimir Sukhoy, Daniel Veditz, et Martijn Wargers ont découvert des plantages dans le moteur de rendu. Cela pourrait permettre l'exécution de code arbitraire.

  • CVE-2007-5340

    Igor Bukanov, Eli Friedman, et Jesse Ruderman ont découvert des plantages dans le moteur de JavaScript. Cela pourrait permettre l'exécution de code arbitraire.

Les mises à jour de sécurité des produits Mozilla de l'ancienne distribution stable (Sarge) ne sont plus fournies.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.0.11~pre071022-0etch1.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.1.5-1.

Nous vous recommandons de mettre à jour vos paquets iceape.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.11~pre071022-0etch1.dsc
http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.11~pre071022-0etch1.diff.gz
http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.11~pre071022.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/i/iceape/iceape-chatzilla_1.0.11~pre071022-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dev_1.0.11~pre071022-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.11~pre071022-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceape/mozilla-browser_1.8+1.0.11~pre071022-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceape/mozilla-calendar_1.8+1.0.11~pre071022-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceape/mozilla-chatzilla_1.8+1.0.11~pre071022-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceape/mozilla-dev_1.8+1.0.11~pre071022-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceape/mozilla-dom-inspector_1.8+1.0.11~pre071022-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceape/mozilla-js-debugger_1.8+1.0.11~pre071022-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceape/mozilla-mailnews_1.8+1.0.11~pre071022-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceape/mozilla-psm_1.8+1.0.11~pre071022-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceape/mozilla_1.8+1.0.11~pre071022-0etch1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_arm.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_arm.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_arm.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_arm.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_arm.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_arm.deb
HPPA:
http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_ia64.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.