Bulletin d'alerte Debian
DSA-1489-1 iceweasel -- Plusieurs vulnérabilités
- Date du rapport :
- 10 février 2008
- Paquets concernés :
- iceweasel
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2008-0412, CVE-2008-0413, CVE-2008-0414, CVE-2008-0415, CVE-2008-0416, CVE-2008-0417, CVE-2008-0418, CVE-2008-0419, CVE-2008-0591, CVE-2008-0592, CVE-2008-0593, CVE-2008-0594.
- Plus de précisions :
-
Plusieurs vulnérabilités à distance ont été découvertes dans le navigateur Iceweasel, une version en marque blanche du navigateur Firefox. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
- CVE-2008-0412
Jesse Ruderman, Kai Engert, Martijn Wargers, Mats Palmgren et Paul Nickerson ont découvert des plantages dans le moteur de rendu. Cela pourrait permettre l'exécution de code arbitraire.
- CVE-2008-0413
Carsten Book, Wesley Garland, Igor Bukanov,
moz_bug_r_a4
,shutdown
, Philip Taylor ettgirmann
ont découvert des plantages dans le moteur JavaScript. Cela pourrait permettre l'exécution de code arbitraire. - CVE-2008-0414
hong
et Gregory Fleischer ont découvert que des vulnérabilités de l'élément actif de saisie du fichier dans le contrôleur de téléchargement des fichiers pouvaient conduire à divulguer des informations sur des fichiers locaux. - CVE-2008-0415
moz_bug_r_a4
et Boris Zbarsky ont découvert plusieurs vulnérabilités dans la gestion de JavaScript. Cela peut permettre une augmentation des droits. - CVE-2008-0417
Justin Dolske a découvert qu'il était possible de tromper le mécanisme de stockage des mots de passe avec des sites malveillants afin de corrompre les mots de passe sauvegardés.
- CVE-2008-0418
Gerry Eisenhaur et
moz_bug_r_a4
ont découvert qu'une vulnérabilité par traversée de répertoires dans la gestion des ressources chromes: pouvait conduire à divulguer des informations. - CVE-2008-0419
David Bloom a découvert une situation de concurrence dans la gestion des images des éléments designMode. Cela peut conduire à divulguer des informations ou peut-être à exécuter du code arbitraire.
- CVE-2008-0591
Michal Zalewski a découvert que des minuteurs protégeant des boîtes de dialogues sensibles au niveau de la sécurité (ils désactivent des éléments des boîtes jusqu'à l'expiration d'un délai) pouvaient être contournés par des modifications des fenêtres actives via du JavaScript.
- CVE-2008-0592
On a découvert que des déclarations de contenu mal formées pour les pièces jointes sauvegardées pouvaient empêcher un utilisateur d'ouvrir des fichiers locaux avec un nom .txt, engendrant un déni de service mineur.
- CVE-2008-0593
Martin Straka a découvert que la gestion peu sûre des feuilles de style pendant les redirections pouvait conduire à divulguer des informations.
- CVE-2008-0594
Emil Ljungdahl et Lars-Olof Moilanen ont découvert que des protections contre le hameçonnage pouvaient être contournées par des éléments <div>.
Les mises à jour de sécurité des produits Mozilla de l'ancienne distribution stable (Sarge) ne sont plus fournies.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.0.0.12-0etch1.
Nous vous recommandons de mettre à jour vos paquets iceweasel.
- CVE-2008-0412
- Corrigé dans :
-
Debian GNU/Linux 4.0 (stable)
- Source :
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1.dsc
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1.diff.gz
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1.dsc
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox_2.0.0.12-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.12-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-dom-inspector_2.0.0.12-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.12-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox_2.0.0.12-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-gnome-support_2.0.0.12-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.12-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.12-0etch1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_amd64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.12-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.12-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.12-0etch1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.