Рекомендация Debian по безопасности
DSA-1532-1 xulrunner -- несколько уязвимостей
- Дата сообщения:
- 27.03.2008
- Затронутые пакеты:
- xulrunner
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2007-4879, CVE-2008-1233, CVE-2008-1234, CVE-2008-1235, CVE-2008-1236, CVE-2008-1237, CVE-2008-1238, CVE-2008-1240, CVE-2008-1241.
- Более подробная информация:
-
В Xulrunner, окружении времени исполнения для XUL-приложений, было обнаружено несколько удалённых уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2007-4879
Петер Бродерсен и Александер Клинк обнаружили, что автоматический выбор клиентских SSL-сертификатов может приводить к отслеживанию пользователей, что приводит к потери приватности.
- CVE-2008-1233
moz_bug_r_a4
обнаружил, что схожие с CVE-2007-3738 и CVE-2007-5338 уязвимости позволяют выполнять произвольный код с помощью XPCNativeWrapper. - CVE-2008-1234
moz_bug_r_a4
обнаружил, что небезопасная обработка обработчиков событий может приводить к межсайтовому скриптингу. - CVE-2008-1235
Борис Збарский, Джонни Стенбэк и
moz_bug_r_a4
обнаружили, что неправильная обработка субъекта защищённого канала может приводить к межсайтовому скриптингу и выполнению произвольного кода. - CVE-2008-1236
Том Феррис, Сет Шпитцер, Мартин Варгерс, Джон Дэджет и Матс Палмгрен обнаружили аварийную остановку в движке разметки, которая может приводить к выполнению произвольного кода.
- CVE-2008-1237
georgi
,tgirmann
и Игорь Буканов обнаружили аварийные остановки в движке Javascript, которые могут позволить выполнять произвольный код. - CVE-2008-1238
Грегори Фляйшер обнаружил, что HTTP-заголовки Referrer обрабатываются неправильно в случае использования URL, содержащих данные учётной записи Basic Authentication с пустым именем пользователя, что приводит к потенциальной подделке межсайтовых запросов.
- CVE-2008-1240
Грегори Фляйшер обнаружил, что веб-содержимое загружается через jar, протокол может использовать Java для подключения к произвольным портам. Это является проблемой только при использовании несвободного подключаемого дополнения Java.
- CVE-2008-1241
Крис Томас обнаружил, что фоновые вкладки могут создавать всплывающие XUL-окна, перекрывающие текущую вкладку, что приводит к потенциальным атакам по подделке содержимого.
Продукты Mozilla в предыдущем стабильном выпуске (sarge) более не поддерживаются.
В стабильном выпуске (etch) эти проблемы были исправлены в версии 1.8.0.15~pre080323b-0etch1.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.8.1.13-1.
Рекомендуется обновить пакеты xulrunner.
- CVE-2007-4879
- Исправлено в:
-
Debian GNU/Linux 4.0 (stable)
- Исходный код:
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.15~pre080323b.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.15~pre080323b-0etch1.diff.gz
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.15~pre080323b-0etch1.dsc
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.15~pre080323b-0etch1.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/x/xulrunner/libsmjs1_1.8.0.15~pre080323b-0etch1_all.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs-dev_1.8.0.15~pre080323b-0etch1_all.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libsmjs-dev_1.8.0.15~pre080323b-0etch1_all.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul-dev_1.8.0.15~pre080323b-0etch1_all.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-dev_1.8.0.15~pre080323b-0etch1_all.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozillainterfaces-java_1.8.0.15~pre080323b-0etch1_all.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-dev_1.8.0.15~pre080323b-0etch1_all.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul-common_1.8.0.15~pre080323b-0etch1_all.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs-dev_1.8.0.15~pre080323b-0etch1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.15~pre080323b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.15~pre080323b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.15~pre080323b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.15~pre080323b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.15~pre080323b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.15~pre080323b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.15~pre080323b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.15~pre080323b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.15~pre080323b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.15~pre080323b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.15~pre080323b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.15~pre080323b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.15~pre080323b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.15~pre080323b-0etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.15~pre080323b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.15~pre080323b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.15~pre080323b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.15~pre080323b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.15~pre080323b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.15~pre080323b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.15~pre080323b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.15~pre080323b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.15~pre080323b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.15~pre080323b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.15~pre080323b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.15~pre080323b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.15~pre080323b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.15~pre080323b-0etch1_amd64.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.15~pre080323b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.15~pre080323b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.15~pre080323b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.15~pre080323b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.15~pre080323b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.15~pre080323b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.15~pre080323b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.15~pre080323b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.15~pre080323b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.15~pre080323b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.15~pre080323b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.15~pre080323b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.15~pre080323b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.15~pre080323b-0etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.15~pre080323b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.15~pre080323b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.15~pre080323b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.15~pre080323b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.15~pre080323b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.15~pre080323b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.15~pre080323b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.15~pre080323b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.15~pre080323b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.15~pre080323b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.15~pre080323b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.15~pre080323b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.15~pre080323b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.15~pre080323b-0etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.15~pre080323b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.15~pre080323b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.15~pre080323b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.15~pre080323b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.15~pre080323b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.15~pre080323b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.15~pre080323b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.15~pre080323b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.15~pre080323b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.15~pre080323b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.15~pre080323b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.15~pre080323b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.15~pre080323b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.15~pre080323b-0etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.15~pre080323b-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.15~pre080323b-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.15~pre080323b-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.15~pre080323b-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.15~pre080323b-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.15~pre080323b-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.15~pre080323b-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.15~pre080323b-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.15~pre080323b-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.15~pre080323b-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.15~pre080323b-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.15~pre080323b-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.15~pre080323b-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.15~pre080323b-0etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.15~pre080323b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.15~pre080323b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.15~pre080323b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.15~pre080323b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.15~pre080323b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.15~pre080323b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.15~pre080323b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.15~pre080323b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.15~pre080323b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.15~pre080323b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.15~pre080323b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.15~pre080323b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.15~pre080323b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.15~pre080323b-0etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.15~pre080323b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.15~pre080323b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.15~pre080323b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.15~pre080323b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.15~pre080323b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.15~pre080323b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.15~pre080323b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.15~pre080323b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.15~pre080323b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.15~pre080323b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.15~pre080323b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.15~pre080323b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.15~pre080323b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.15~pre080323b-0etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.15~pre080323b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.15~pre080323b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.15~pre080323b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.15~pre080323b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.15~pre080323b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.15~pre080323b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.15~pre080323b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.15~pre080323b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.15~pre080323b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.15~pre080323b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.15~pre080323b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.15~pre080323b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.15~pre080323b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.15~pre080323b-0etch1_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.