Informations de sécurité / 2008 / Informations sur la sécurité -- DSA-1489-1 iceweasel

Bulletin d'alerte Debian

DSA-1489-1 iceweasel -- Plusieurs vulnérabilités

Date du rapport :

10 février 2008

Paquets concernés :

iceweasel

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2008-0412, CVE-2008-0413, CVE-2008-0414, CVE-2008-0415, CVE-2008-0416, CVE-2008-0417, CVE-2008-0418, CVE-2008-0419, CVE-2008-0591, CVE-2008-0592, CVE-2008-0593, CVE-2008-0594.

Plus de précisions :

Plusieurs vulnérabilités à distance ont été découvertes dans le navigateur Iceweasel, une version en marque blanche du navigateur Firefox. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :

• CVE-2008-0412

  Jesse Ruderman, Kai Engert, Martijn Wargers, Mats Palmgren et Paul Nickerson ont découvert des plantages dans le moteur de rendu. Cela pourrait permettre l'exécution de code arbitraire.

• CVE-2008-0413

  Carsten Book, Wesley Garland, Igor Bukanov, moz_bug_r_a4, shutdown, Philip Taylor et tgirmann ont découvert des plantages dans le moteur JavaScript. Cela pourrait permettre l'exécution de code arbitraire.

• CVE-2008-0414

  hong et Gregory Fleischer ont découvert que des vulnérabilités de l'élément actif de saisie du fichier dans le contrôleur de téléchargement des fichiers pouvaient conduire à divulguer des informations sur des fichiers locaux.

• CVE-2008-0415

  moz_bug_r_a4 et Boris Zbarsky ont découvert plusieurs vulnérabilités dans la gestion de JavaScript. Cela peut permettre une augmentation des droits.

• CVE-2008-0417

  Justin Dolske a découvert qu'il était possible de tromper le mécanisme de stockage des mots de passe avec des sites malveillants afin de corrompre les mots de passe sauvegardés.

• CVE-2008-0418

  Gerry Eisenhaur et moz_bug_r_a4 ont découvert qu'une vulnérabilité par traversée de répertoires dans la gestion des ressources chromes: pouvait conduire à divulguer des informations.

• CVE-2008-0419

  David Bloom a découvert une situation de concurrence dans la gestion des images des éléments designMode. Cela peut conduire à divulguer des informations ou peut-être à exécuter du code arbitraire.

• CVE-2008-0591

  Michal Zalewski a découvert que des minuteurs protégeant des boîtes de dialogues sensibles au niveau de la sécurité (ils désactivent des éléments des boîtes jusqu'à l'expiration d'un délai) pouvaient être contournés par des modifications des fenêtres actives via du JavaScript.

• CVE-2008-0592

  On a découvert que des déclarations de contenu mal formées pour les pièces jointes sauvegardées pouvaient empêcher un utilisateur d'ouvrir des fichiers locaux avec un nom .txt, engendrant un déni de service mineur.

• CVE-2008-0593

  Martin Straka a découvert que la gestion peu sûre des feuilles de style pendant les redirections pouvait conduire à divulguer des informations.

• CVE-2008-0594

  Emil Ljungdahl et Lars-Olof Moilanen ont découvert que des protections contre le hameçonnage pouvaient être contournées par des éléments <div>.

Les mises à jour de sécurité des produits Mozilla de l'ancienne distribution stable (Sarge) ne sont plus fournies.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.0.0.12-0etch1.

Nous vous recommandons de mettre à jour vos paquets iceweasel.

Corrigé dans :

Debian GNU/Linux 4.0 (stable)

Source :

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12.orig.tar.gz

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1.dsc

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1.diff.gz

Composant indépendant de l'architecture :

http://security.debian.org/pool/updates/main/i/iceweasel/firefox_2.0.0.12-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.12-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-dom-inspector_2.0.0.12-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.12-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox_2.0.0.12-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-gnome-support_2.0.0.12-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.12-0etch1_all.deb

Alpha:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_alpha.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_alpha.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_alpha.deb

AMD64:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_amd64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_amd64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_amd64.deb

HP Precision:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_hppa.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_hppa.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_hppa.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_i386.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_i386.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_ia64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_ia64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_ia64.deb

Big-endian MIPS:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_mips.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_mips.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_mips.deb

Little-endian MIPS:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_mipsel.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_mipsel.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_powerpc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_powerpc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_s390.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_s390.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_sparc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_sparc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.