Debian セキュリティ勧告
DSA-1830-1 icedove -- 複数の脆弱性
- 報告日時:
- 2009-07-12
- 影響を受けるパッケージ:
- icedove
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2009-0040, CVE-2009-0352, CVE-2009-0353, CVE-2009-0652, CVE-2009-0771, CVE-2009-0772, CVE-2009-0773, CVE-2009-0774, CVE-2009-0776, CVE-2009-1302, CVE-2009-1303, CVE-2009-1307, CVE-2009-1832, CVE-2009-1392, CVE-2009-1836, CVE-2009-1838, CVE-2009-1841.
- 詳細:
-
Thunderbird クライアントの商標非使用版 Icedove メールクライアントに、 リモートから攻撃可能な複数の問題が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
- CVE-2009-0040
細工された PNG ファイルにより未初期化ポインタの解放が (1) png_read_png 関数、(2) pCAL チャンク処理、(3) 16-bit ガンマテーブ ルの初期化でおのおの発生するため、任意コードを実行できる可能性があ ります (MFSA 2009-10)。
- CVE-2009-0352
レイアウトエンジンに関連した攻撃により、任意のコードを実行可能です (MFSA 2009-01) 。
- CVE-2009-0353
JavaScript エンジンに関連した攻撃により、任意のコードを実行可能です (MFSA 2009-01) 。
- CVE-2009-0652
Bjoern Hoehrmann さんと、Moxie Marlinspike さんにより、国際化ドメ イン名中の Unicode の矩形描画文字がフィッシング攻撃に使えることが 発見されました (MFSA 2009-15)。
- CVE-2009-0771
Martijn Wargers さん, Jesse Ruderman さん、および Josh Soref さんに より、任意のコードの実行の可能性のあるレイアウトエンジンのクラッシ ュが発見されました (MFSA 2009-07)。
- CVE-2009-0772
Jesse Ruderman さんにより、nsCSSStyleSheet::GetOwnerNode、イベント、 ガベージコレクションに関連した任意のコードの実行の可能性のあるレイ アウトエンジンのクラッシュが発見されました (MFSA 2009-07)。
- CVE-2009-0773
任意のコードの実行の可能性のある Javascript エンジンのクラッシュが 発見されました (MFSA 2009-07)。
- CVE-2009-0774
gczeal に関連した任意のコードの実行の可能性のある Javascript エン ジンのクラッシュが発見されました (MFSA 2009-07)。
- CVE-2009-0776
Georgi Guninski さんにより、nsIRDFService に関連した問題により xml データを採取可能であることが発見されました (MFSA 2009-09)。
- CVE-2009-1302
ブラウザエンジンに複数の攻撃手法を持つメモリ破壊を許す欠陥が発見さ れました (MFSA 2009-14) 。
- CVE-2009-1303
nsSVGElement::BindToTree 関数にメモリ破壊を許す欠陥が発見されまし た (MFSA 2009-14) 。
- CVE-2009-1307
Gregory Fleischer さんにより、Flash ファイルの同一オリジン原則が view-source スキームでロードされたファイルに対して正しく適用され ていないため、ドメイン間の制限のポリシーを迂回可能であることが発 見されました (MFSA 2009-17) 。
- CVE-2009-1832
"double frame construction" を含む攻撃手法により、任意のコードが 実行可能です (MFSA 2009-24)。
- CVE-2009-1392
icedove のブラウザエンジンに複数の問題があり、任意のコードの実行 が可能であることが発見されました (MFSA 2009-24)。
- CVE-2009-1836
Shuo Chen, Ziqing Mao, Yi-Min Wang および Ming Zhang の各氏によ り、特定のプロキシ応答のチェックが不十分なため、中間者攻撃の可能 性があることが報告されました (MFSA 2009-27)。
- CVE-2009-1838
moz_bug_r_a4 さんにより、ガベージコレクタの実装ミスにより、任意 の Javascript が Chrome 権限で実行可能であることが発見されまし た (MFSA 2009-29)。
- CVE-2009-1841
moz_bug_r_a4 さんにより、ページ内容のスクリプトが昇格された特権 で走らせることが可能なため、オブジェクトの chrome 特権で任意の コードの実行ができることが報告されました (MFSA 2009-32)。
- CVE 番号未
Bernd Jendrissek さんにより、text/enhanced パートを持つ multipart/ alternative メールメッセージを表示する際の、攻撃の可能性のあるク ラッシュが発見されました (MFSA 2009-33)。
安定版 (stable) ディストリビューション (lenny) では、これらの問題はバ ージョン 2.0.0.22-0lenny1 で修正されています。
Etch リリースノートに記載されているとおり、旧安定版ディストリビューション での Mozilla プロダクトのセキュリティサポートは通常の etch セキュリティサ ポートライフサイクルより前に停止せざるを得ませんでした。安定版に更新する か、サポートされているメールクライアントへの乗り換えを強く推奨します。
テスト版ディストリビューション (squeeze) では、これらの問題は近く修正予定 です。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 2.0.0.22-1 で修正されています。
直ぐに icedove パッケージをアップグレードすることを勧めます。
- CVE-2009-0040
- 修正:
-
Debian GNU/Linux 5.0 (lenny)
- ソース:
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1.dsc
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1.diff.gz
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_arm.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_arm.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_arm.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_arm.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_i386.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_i386.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_i386.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_i386.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_mips.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_mips.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_mips.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_mips.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_s390.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_s390.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_s390.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_s390.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。