Debian セキュリティ勧告
DSA-1697-1 iceape -- 複数の欠陥
- 報告日時:
- 2009-01-07
- 影響を受けるパッケージ:
- iceape
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2008-0016, CVE-2008-0304, CVE-2008-2785, CVE-2008-2798, CVE-2008-2799, CVE-2008-2800, CVE-2008-2801, CVE-2008-2802, CVE-2008-2803, CVE-2008-2805, CVE-2008-2807, CVE-2008-2808, CVE-2008-2809, CVE-2008-2810, CVE-2008-2811, CVE-2008-2933, CVE-2008-3835, CVE-2008-3836, CVE-2008-3837, CVE-2008-4058, CVE-2008-4059, CVE-2008-4060, CVE-2008-4061, CVE-2008-4062, CVE-2008-4065, CVE-2008-4067, CVE-2008-4068, CVE-2008-4069, CVE-2008-4070, CVE-2008-4582, CVE-2008-5012, CVE-2008-5013, CVE-2008-5014, CVE-2008-5017, CVE-2008-0017, CVE-2008-5021, CVE-2008-5024, CVE-2008-5022, CVE-2008-5500, CVE-2008-5503, CVE-2008-5506, CVE-2008-5507, CVE-2008-5508, CVE-2008-5511, CVE-2008-5512.
- 詳細:
-
商標変更版の Seamonkey Web プログラム群である Iceape に、リモートから攻撃 可能な複数の問題が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
- CVE-2008-0016
Justin Schuhさん、Tom Cross さんと Peter Williams さんにより、UTF-8 パ ーザにバッファオーバフローが発見されました。この欠陥を攻撃することによ り、任意のコードが実行可能です。(MFSA 2008-37)
- CVE-2008-0304
MIME デコード処理にバッファオーバフローが発見されました。この欠陥を攻 撃することにより、任意のコードの実行が可能です。 (MFSA 2008-26)
- CVE-2008-2785
CSS オブジェクトのリファレンスカウンタに配列の範囲チェックが抜けてい るため、任意のコードの実行が可能であることが発見されました (MFSA 2008-34)
- CVE-2008-2798
Devon Hubbard さん、Jesse Ruderman さん、および Martijn Wargers さ んにより、レイアウトエンジンにクラッシュがあり、任意のコードの実行 の可能性があることが発見されました。(MFSA 2008-21)
- CVE-2008-2799
Igor Bukanov さん、Jesse Ruderman さん、および Gary Kwong さんによ り、Javascript エンジンにクラッシュがあり、任意のコードの実行の可能 性があることが発見されました。(MFSA 2008-21)
- CVE-2008-2800
"moz_bug_r_a4" さんにより、複数のクロスサイトスクリプティング欠陥が 発見されました。(MFSA 2008-22)
- CVE-2008-2801
Collin Jackson さんと Adam Barth さんにより、Javascript コードが署名 された JAR アーカイブのコンテキストで実行可能であることが発見されま した。(MFSA 2008-23)
- CVE-2008-2802
"moz_bug_r_a4" さんにより、プリコンパイルされた fastload ファイルを アクセスすることにより、XUL ドキュメントを特権昇格可能であることが発 見されました。(MFSA 2008-24)
- CVE-2008-2803
"moz_bug_r_a4" さんにより、mozIJSSubScriptLoader.loadSubScript() 関 数に入力のサニタイズが欠けているため、任意のコードが実行可能であるこ とが発見されました。Iceape 自体は影響を受けませんが、addon には影 響があります。 (MFSA 2008-25)
- CVE-2008-2805
Claudio Santambrogio さんにより、DOM パーザに入力の認証が欠けている ため、悪意を持ったウェブサイトがローカルファイルをサーバにアップロー ドさせるようブラウザにし向けることが可能で、情報漏洩に繋がることが発 見されました。 (MFSA 2008-27)
- CVE-2008-2807
Daniel Glazman さんにより、.properties ファイルのパーザにプログラム ミスがあり、メモリ内容がアドオンに漏洩するため、情報漏洩に繋がること が発見されました。(MFSA 2008-29)
- CVE-2008-2808
山田昌弘さんにより、ディレクトリリスティング中の URL が適切にサニタ イズされていないことが発見されました。 (MFSA 2008-30)
- CVE-2008-2809
John G. Myers さん、Frank Benkstein さん、および Nils Toedtmann さん により、自己署名証明書の alternate name の処理が不十分で、セキュアな コネクションを詐称できることが発見されました。(MFSA 2008-31)
- CVE-2008-2810
URL ショートカットにより、同一オリジンチェックを迂回可能であることが 発見されました。Iceape 自体は影響を受けませんが、インストールさせた機 能拡張には影響があります。 (MFSA 2008-32)
- CVE-2008-2811
Greg McManus さんにより、ブロックリフロー処理にクラッシュがあり、任 意のコードの実行の可能性があることが発見されました。(MFSA 2008-33)
- CVE-2008-2933
Billy Rios さんによりパイプ文字を含む URL を Iceape に与えることで、 Chrome の特権昇格が可能であることが発見されました。(MFSA 2008-35)
- CVE-2008-3835
"moz_bug_r_a4" さんにより、nsXMLDocument::OnChannelRedirect() の同一オ リジンチェックが迂回可能であることが発見されました。(MFSA 2008-38)
- CVE-2008-3836
"moz_bug_r_a4" さんにより、feedWriter に Chrome 特権昇格に繋がる複数の 欠陥が発見されました。(MFSA 2008-39)
- CVE-2008-3837
Paul Nickerson さんにより、攻撃者がマウスクリックの間にウィンドウを移 動できるため、ドラッグアンドドロップにより意図しない動作を起こすことが できることが発見されました。(MFSA 2008-40)
- CVE-2008-4058
"moz_bug_r_a4" さんにより、XPCNativeWrappers に Chrome 特権昇格に繋が る欠陥が発見されました。(MFSA 2008-41)
- CVE-2008-4059
"moz_bug_r_a4" さんにより、XPCNativeWrappers に Chrome 特権昇格に繋が る欠陥が発見されました。(MFSA 2008-41)
- CVE-2008-4060
Olli Pettay さんと "moz_bug_r_a4" さんにより、XSLT 処理に Chrome 特権 昇格に繋がる欠陥が発見されました。(MFSA 2008-41)
- CVE-2008-4061
Jesse Ruderman さんにより、レイアウトエンジンに任意のコードの実行の可 能性があるクラッシュが発見されました。(MFSA 2008-42)
- CVE-2008-4062
Igor Bukanovさん、Philip Taylor さん、Georgi Guninski さんと Antoine Labour さんにより、Javascript エンジンに任意のコードの実行の可能性が あるクラッシュが発見されました。(MFSA 2008-42)
- CVE-2008-4065
Dave Reed さんにより、一部の Unicode バイトオーダマークが実行前に Javascript コードから削除されるため、クオートされた文字の一部を実行し てしまうことが発見されました。(MFSA 2008-43)
- CVE-2008-4067
Boris Zbarsky さんにより、resource:URLs が URL エンコードされたスラ ッシュを含めることにより、ディレクトリトラバーサルを許すことが発見 されました。 (MFSA 2008-44)
- CVE-2008-4068
Georgi Guninski さんにより、resource:URLs がローカルのアクセス制限を 回避可能であることが発見されました。 (MFSA 2008-44)
- CVE-2008-4069
Billy Hoffman さんにより、XBM デコーダが初期化されていないメモリの内 容を暴露する可能性があることが発見されました。(MFSA 2008-45)
- CVE-2008-4070
ニュース記事の長大なヘッダによるバッファオーバフローが発見されました。 この欠陥を攻撃することにより、任意のコードが実行可能です (MFSA 2008-46)。
- CVE-2008-5012
Georgi Guninski さん, Michal Zalewski さんおよび Chris Evan さんの各氏 により、canvas element が同一オリジンルールを迂回可能であることが発見 されました。(MFSA 2008-48)
- CVE-2008-5013
Flash プラグイングルーコードでのチェックが不十分であるため、任意のコー ドの実行が可能であることが発見されました。(MFSA 2008-49)
- CVE-2008-5014
Jesse Ruderman さんにより、window.__proto__.__proto__ オブジェクトのプ ログラムミスにより、任意のコードの実行が可能であることが発見されました。 (MFSA 2008-50)
- CVE-2008-5017
layout エンジンのクラッシュにより、任意のコードの実行が可能であることが 発見されました。(MFSA 2008-52)
- CVE-2008-0017
Justin Schuh さんにより http-index-format パーザにバッファオーバフロ ーがあり、任意のコードの実行が可能であることが発見されました。 (MFSA 2008-54)
- CVE-2008-5021
nsFrameManager のクラッシュにより、任意のコードの実行が可能であることが 発見されました。 (MFSA 2008-55)
- CVE-2008-5022
"moz_bug_r_a4" さんにより、nsXMLHttpRequest::NotifyEventListeners() の 同一オリジンルールを迂回可能であることが発見されました。(MFSA 2008-56)
- CVE-2008-5024
Chris Evans さんにより、Quote 文字が E4X ドキュメントの標準名前空間で不 適切にエスケープされていることが発見されました。(MFSA 2008-58)
- CVE-2008-4582
Liu Die Yu さんにより、ローカルのショートカットファイルによる情報漏洩 が発見されました。(MFSA 2008-59)
- CVE-2008-5500
Jesse Ruderman さんにより、レイアウトエンジンが DoS 攻撃に脆弱で、メモ リ破壊や整数オーバフローが発生することが発見されました (MFSA 2008-60)。
- CVE-2008-5503
Boris Zbarsky さんにより、XBL バインディングによる情報漏洩攻撃が可能で あることが発見されました (MFSA 2008-61)。
- CVE-2008-5506
Marius Schilder さんにより、XMLHttpRequest を用いて機密情報が取得可能 であることが発見されました (MFSA 2008-64)。
- CVE-2008-5507
Chris Evans さんにより、Javascript URL を用いて機密情報が取得可能であ ることが発見されました (MFSA 2008-65)
- CVE-2008-5508
Chip Salzenberg さんにより、空白または制御文字を頭につけた URL を用い てフィッシング攻撃が可能であることが発見されました (MFSA 2008-66)。
- CVE-2008-5511
「未ロードの文書」に対する XBL バインディングを用いたクロスサイトスク リプティング攻撃が可能であることが発見されました (MFSA 2008-68)。
- CVE-2008-5512
クローム特権化の任意の Javascript 実行が、未公開の方法で可能であること が発見されました (MFSA 2008-68)。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 1.0.13~pre080614i-0etch1 で修正されています。
次期安定版ディストリビューション (lenny) では、この問題は近く修正予定です。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョ ン 1.1.14-1 で修正されています。
直ぐに iceape パッケージをアップグレードすることを勧めます。
- CVE-2008-0016
- 修正:
-
Debian GNU/Linux 4.0 (etch)
- ソース:
- http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.13~pre080614i-0etch1.dsc
- http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.13~pre080614i-0etch1.diff.gz
- http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.13~pre080614i.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.13~pre080614i-0etch1.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-mailnews_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-calendar_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-chatzilla_1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-psm_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dev_1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-browser_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-dev_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-js-debugger_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-chatzilla_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-dom-inspector_1.8+1.0.13~pre080614i-0etch1_all.deb
- http://security.debian.org/pool/updates/main/i/iceape/mozilla-calendar_1.8+1.0.13~pre080614i-0etch1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_amd64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.13~pre080614i-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.13~pre080614i-0etch1_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。