Bulletin d'alerte Debian
DSA-1671-1 iceweasel -- Plusieurs vulnérabilités
- Date du rapport :
- 24 novembre 2008
- Paquets concernés :
- iceweasel
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2008-0017, CVE-2008-4582, CVE-2008-5012, CVE-2008-5013, CVE-2008-5014, CVE-2008-5017, CVE-2008-5018, CVE-2008-5021, CVE-2008-5022, CVE-2008-5023, CVE-2008-5024.
- Plus de précisions :
-
Plusieurs vulnérabilités distantes ont été découvertes dans le navigateur Iceweasel, une version en marque blanche du navigateur Firefox browser. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants.
- CVE-2008-0017
Justin Schuh a découvert qu'un dépassement de tampon dans l'interpréteur http-index-format peut conduire à l'exécution de code arbitraire.
- CVE-2008-4582
Liu Die Yu a découvert une fuite d'informations par fichiers de raccourci locaux.
- CVE-2008-5012
Georgi Guninski, Michal Zalewski et Chris Evan ont découvert qu'une zone graphique peut être utilisée pour contourner des restrictions de même origine.
- CVE-2008-5013
On a découvert que des vérifications insuffisantes dans le code de déchargement du module Flash peuvent conduire à l'exécution de code arbitraire.
- CVE-2008-5014
Jesse Ruderman a découvert qu'une erreur de programmation dans l'objet window.__proto__.__proto__ peut conduire à l'exécution de code arbitraire.
- CVE-2008-5017
On a découvert un plantage dans le code de mise en forme. Cela peut conduire à l'exécution de code arbitraire.
- CVE-2008-5018
On a découvert un plantage dans le moteur Javascript. Cela peut conduire à l'exécution de code arbitraire.
- CVE-2008-5021
On a découvert un plantage dans NsFrameManager qui pourrait conduire à l'exécution de code arbitraire.
- CVE-2008-5022
moz_bug_r_a4
a découvert que le test de même origine dans nsXMLHttpRequest::NotifyEventListeners() pourrait être contourné. - CVE-2008-5023
Collin Jackson a découvert une vérification insuffisante dans la propriété CSS -moz-binding. Cela peut conduire à l'exécution de script arbitraire.
- CVE-2008-5024
Chris Evans a découvert que les guillemets n'étaient pas correctement protégés dans l'espace de nom par défaut des documents E4X.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 2.0.0.18-0etch1.
Pour la distribution stable à venir (Lenny) et la distribution instable (Sid), ces problèmes ont été corrigés dans la version 3.0.4-1 de iceweasel et la version 1.9.0.4-1 de xulrunner. Les paquets pour architecture arm et mips seront disponibles prochainement.
Nous vous recommandons de mettre à jour votre paquet iceweasel.
- CVE-2008-0017
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.18-0etch1.diff.gz
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.18.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.18-0etch1.dsc
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.18.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-gnome-support_2.0.0.18-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.18-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.18-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox_2.0.0.18-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox_2.0.0.18-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.18-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-dom-inspector_2.0.0.18-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.18-0etch1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.18-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.18-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.18-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.18-0etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.18-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.18-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.18-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.18-0etch1_amd64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.18-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.18-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.18-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.18-0etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.18-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.18-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.18-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.18-0etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.18-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.18-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.18-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.18-0etch1_ia64.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.18-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.18-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.18-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.18-0etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.18-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.18-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.18-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.18-0etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.18-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.18-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.18-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.18-0etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.18-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.18-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.18-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.18-0etch1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.