Bulletin d'alerte Debian

DSA-1649-1 iceweasel -- Plusieurs vulnérabilités

Date du rapport :
8 octobre 2008
Paquets concernés :
iceweasel
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2008-0016, CVE-2008-3835, CVE-2008-3836, CVE-2008-3837, CVE-2008-4058, CVE-2008-4059, CVE-2008-4060, CVE-2008-4061, CVE-2008-4062, CVE-2008-4065, CVE-2008-4066, CVE-2008-4067, CVE-2008-4068, CVE-2008-4069.
Plus de précisions :

Plusieurs vulnérabilités distantes ont été découvertes dans le navigateur web Iceweasel, une version démarquée du navigateur Firefox. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2008-0016

    Justin Schuh, Tom Cross et Peter Williams ont découvert un débordement de tampon dans le découpeur d'URL en UTF-8, ce qui peut mener à l'exécution de code arbitraire.

  • CVE-2008-3835

    moz_bug_r_a4 a découvert que la vérification de même origine dans nsXMLDocument::OnChannelRedirect() pouvait être contournée.

  • CVE-2008-3836

    moz_bug_r_a4 a découvert que plusieurs vulnérabilités dans la fonction feedWriter pouvaient conduire à une augmentation des droits de Chrome.

  • CVE-2008-3837

    Paul Nickerson a découvert qu'un attaquant pouvait déplacer des fenêtres pendant un clic de souris, résultant en une action non désirée provoquée par un glisser-lâcher.

  • CVE-2008-4058

    moz_bug_r_a4 a découvert une vulnérabilité qui peut résulter dans une augmentation des privilèges de Chrome à travers XPCNativeWrappers.

  • CVE-2008-4059

    moz_bug_r_a4 a découvert une vulnérabilité qui peut résulter dans une augmentation des privilèges de Chrome à travers XPCNativeWrappers.

  • CVE-2008-4060

    Olli Pettay et moz_bug_r_a4 ont découvert une augmentation des droits de Chrome dans la gestion de XSLT.

  • CVE-2008-4061

    Jesse Ruderman a découvert un crash dans le moteur de rendu, qui aurait pu permettre l'exécution de code arbitraire.

  • CVE-2008-4062

    Igor Bukanov, Philip Taylor, Georgi Guninski et Antoine Labour ont découvert des crashes dans le moteur Javascript, qui auraient pu permettre l'exécution de code arbitraire.

  • CVE-2008-4065

    Dave Reed a découvert que certaines marques de l'ordre des octets d'Unicode sont effacées du code Javascript avant exécution, ce qui peut résulter en l'exécution de code qui était autrement une partie d'une chaîne entre guillemets.

  • CVE-2008-4066

    Gareth Heyes a découvert que quelques caractères de substitution Unicode sont ignorés par le découpeur HTML.

  • CVE-2008-4067

    Boris Zbarsky a découvert que « resource: URLs » permet la traversée de répertoire lors de l'utilisation de barres obliques encodées en URL.

  • CVE-2008-4068

    Georgi Guninski a découvert que « resource: URLs » pouvait contourner des restrictions locales d'accès.

  • CVE-2008-4069

    Billy Hoffman a découvert que le décodeur XBM pouvait révéler de la mémoire non initialisée.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.0.0.17-0etch1. Des paquets pour l'architecture hppa seront fournis plus tard.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 3.0.3 d'iceweasel et la version 1.9.0.3-1 de xulrunner.

Nous vous recommandons de mettre à jour vos paquets iceweasel.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17.orig.tar.gz
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1.dsc
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/i/iceweasel/firefox_2.0.0.17-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.17-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-dom-inspector_2.0.0.17-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-gnome-support_2.0.0.17-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.17-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox_2.0.0.17-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.17-0etch1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_arm.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_arm.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_mips.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.17-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.17-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.17-0etch1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.