Bulletin d'alerte Debian
DSA-1830-1 icedove -- Plusieurs vulnérabilités
- Date du rapport :
- 12 juillet 2009
- Paquets concernés :
- icedove
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2009-0040, CVE-2009-0352, CVE-2009-0353, CVE-2009-0652, CVE-2009-0771, CVE-2009-0772, CVE-2009-0773, CVE-2009-0774, CVE-2009-0776, CVE-2009-1302, CVE-2009-1303, CVE-2009-1307, CVE-2009-1832, CVE-2009-1392, CVE-2009-1836, CVE-2009-1838, CVE-2009-1841.
- Plus de précisions :
-
Plusieurs vulnérabilités distantes ont été découvertes dans le client de messagerie Icedove, une version sans marque du client de messagerie Thunderbird. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2009-0040
L'exécution de code arbitraire pourrait être possible à l'aide d'un fichier PNG contrefait qui déclenche une libération de pointeur non initialisé dans (1) la fonction png_read_png, (2) le traitement de morceau pCAL ou (3) la configuration de tables de gamma 16 bits (MFSA 2009-10).
- CVE-2009-0352
Une exécution de code arbitraire est possible à l'aide de moyens liés au moteur de rendu (MFSA 2009-01).
- CVE-2009-0353
Une exécution de code arbitraire est possible à l'aide de moyens liés au moteur JavaScript (MFSA 2009-01).
- CVE-2009-0652
Bjoern Hoehrmann et Moxie Marlinspike ont découvert la possibilité d'une attaque d'usurpation utilisant la boîte Unicode dessinant les caractères dans les noms de domaine internationalisés (MFSA 2009-15).
- CVE-2009-0771
Une corruption de mémoire et des erreurs d'assertion ont été découvertes dans le moteur de rendu, permettant éventuellement l'exécution de code arbitraire (MFSA 2009-07).
- CVE-2009-0772
Le moteur de rendu permet l'exécution de code arbitraire avec des moyens liés à nsCSSStyleSheet::GetOwnerNode, les événements et le ramasse-miettes (MFSA 2009-07).
- CVE-2009-0773
Le moteur JavaScript est prédisposé à l'exécution de code arbitraire par différents moyens (MFSA 2009-07).
- CVE-2009-0774
Le moteur de rendu permet l'exécution de code arbitraire avec des moyens liés à gczeal (MFSA 2009-07).
- CVE-2009-0776
Georgi Guninski a découvert qu'il est possible d'obtenir des données XML à cause d'un problème lié au nsIRDFService (MFSA 2009-09).
- CVE-2009-1302
Le moteur de rendu est prédisposé à une éventuelle corruption de mémoire par différents moyens (MFSA 2009-14).
- CVE-2009-1303
Le moteur de navigation est prédisposé à une éventuelle corruption de mémoire à l'aide de la fonction nsSVGElement::BindToTree (MFSA 2009-14).
- CVE-2009-1307
Gregory Fleischer a découvert un contournement possible de la politique de même origine lors de l'ouverture d'un fichier Flash à l'aide du schéma view-source: (MFSA 2009-17).
- CVE-2009-1832
La possibilité d'exécution de code arbitraire a été découverte à l'aide de moyens impliquant une
construction de cadre double
(MFSA 2009-24). - CVE-2009-1392
Plusieurs problèmes ont été découverts dans le moteur de navigation utilisé par Icedove, ce qui pourrait conduire à la possibilité d'exécution de code arbitraire (MFSA 2009-24).
- CVE-2009-1836
Shuo Chen, Ziqing Mao, Yi-Min Wang et Ming Zhang ont signalé une potentielle attaque en homme au milieu, lors de l'utilisation d'un serveur mandataire (
proxy
) à cause de vérifications insuffisantes de certaines réponses du serveur mandataire (MFSA 2009-27). - CVE-2009-1838
moz_bug_r_a4 a découvert qu'il est possible d'exécuter du JavaScript arbitraire avec les droits de chrome à cause d'une erreur dans l'implémentation de ramasse-miettes (MFSA 2009-29).
- CVE-2009-1841
moz_bug_r_a4 a signalé qu'il est possible aux scripts provenant des contenus de page de s'exécuter avec des droits élevés et par conséquent, d'exécuter éventuellement du code arbitraire avec les droits chrome de l'objet (MFSA 2009-32).
-
Bernd Jendrissek a découvert un plantage éventuellement exploitable lors du visionnement d'un message multipart/alternative avec une partie text/enhanced (MFSA 2009-33).
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.0.0.22-0lenny1.
Conformément aux notes de publication d'Etch, le suivi en sécurité des produits Mozilla dans la distribution oldstable devait être arrêté avant la fin du cycle de vie normal en matière de suivi en sécurité. Nous vous recommandons fortement de mettre à niveau vers stable ou de basculer vers un client de messagerie encore suivi.
Pour la distribution (Squeeze), ces problèmes seront bientôt corrigés.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.0.0.22-1.
Nous vous recommandons de mettre à jour vos paquets icedove.
- CVE-2009-0040
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1.dsc
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1.diff.gz
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_arm.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_arm.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_arm.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_arm.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_i386.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_i386.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_i386.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_i386.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_mips.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_mips.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_mips.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_mips.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_s390.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_s390.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_s390.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_s390.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.