Bulletin d'alerte Debian
DSA-1649-1 iceweasel -- Plusieurs vulnérabilités
- Date du rapport :
- 8 octobre 2008
- Paquets concernés :
- iceweasel
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2008-0016, CVE-2008-3835, CVE-2008-3836, CVE-2008-3837, CVE-2008-4058, CVE-2008-4059, CVE-2008-4060, CVE-2008-4061, CVE-2008-4062, CVE-2008-4065, CVE-2008-4066, CVE-2008-4067, CVE-2008-4068, CVE-2008-4069.
- Plus de précisions :
-
Plusieurs vulnérabilités distantes ont été découvertes dans le navigateur web Iceweasel, une version démarquée du navigateur Firefox. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2008-0016
Justin Schuh, Tom Cross et Peter Williams ont découvert un débordement de tampon dans le découpeur d'URL en UTF-8, ce qui peut mener à l'exécution de code arbitraire.
- CVE-2008-3835
moz_bug_r_a4
a découvert que la vérification de même origine dans nsXMLDocument::OnChannelRedirect() pouvait être contournée. - CVE-2008-3836
moz_bug_r_a4
a découvert que plusieurs vulnérabilités dans la fonction feedWriter pouvaient conduire à une augmentation des droits de Chrome. - CVE-2008-3837
Paul Nickerson a découvert qu'un attaquant pouvait déplacer des fenêtres pendant un clic de souris, résultant en une action non désirée provoquée par un glisser-lâcher.
- CVE-2008-4058
moz_bug_r_a4
a découvert une vulnérabilité qui peut résulter dans une augmentation des privilèges de Chrome à travers XPCNativeWrappers. - CVE-2008-4059
moz_bug_r_a4
a découvert une vulnérabilité qui peut résulter dans une augmentation des privilèges de Chrome à travers XPCNativeWrappers. - CVE-2008-4060
Olli Pettay et
moz_bug_r_a4
ont découvert une augmentation des droits de Chrome dans la gestion de XSLT. - CVE-2008-4061
Jesse Ruderman a découvert un crash dans le moteur de rendu, qui aurait pu permettre l'exécution de code arbitraire.
- CVE-2008-4062
Igor Bukanov, Philip Taylor, Georgi Guninski et Antoine Labour ont découvert des crashes dans le moteur Javascript, qui auraient pu permettre l'exécution de code arbitraire.
- CVE-2008-4065
Dave Reed a découvert que certaines marques de l'ordre des octets d'Unicode sont effacées du code Javascript avant exécution, ce qui peut résulter en l'exécution de code qui était autrement une partie d'une chaîne entre guillemets.
- CVE-2008-4066
Gareth Heyes a découvert que quelques caractères de substitution Unicode sont ignorés par le découpeur HTML.
- CVE-2008-4067
Boris Zbarsky a découvert que « resource: URLs » permet la traversée de répertoire lors de l'utilisation de barres obliques encodées en URL.
- CVE-2008-4068
Georgi Guninski a découvert que « resource: URLs » pouvait contourner des restrictions locales d'accès.
- CVE-2008-4069
Billy Hoffman a découvert que le décodeur XBM pouvait révéler de la mémoire non initialisée.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.0.0.17-0etch1. Des paquets pour l'architecture hppa seront fournis plus tard.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 3.0.3 d'iceweasel et la version 1.9.0.3-1 de xulrunner.
Nous vous recommandons de mettre à jour vos paquets iceweasel.
- CVE-2008-0016
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1.dsc
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1.diff.gz
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1.dsc
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox_2.0.0.17-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.17-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-dom-inspector_2.0.0.17-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-gnome-support_2.0.0.17-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.17-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox_2.0.0.17-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.17-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.17-0etch1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_arm.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_arm.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_arm.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.