Säkerhetsbulletin från Debian
DSA-1830-1 icedove -- flera sårbarheter
- Rapporterat den:
- 2009-07-12
- Berörda paket:
- icedove
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2009-0040, CVE-2009-0352, CVE-2009-0353, CVE-2009-0652, CVE-2009-0771, CVE-2009-0772, CVE-2009-0773, CVE-2009-0774, CVE-2009-0776, CVE-2009-1302, CVE-2009-1303, CVE-2009-1307, CVE-2009-1832, CVE-2009-1392, CVE-2009-1836, CVE-2009-1838, CVE-2009-1841.
- Ytterligare information:
-
Flera utifrån nåbara sårbarheter har upptäckts i epostklienten Icedove, en version av epostklienten Thunderbird. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2009-0040
Exekvering av godtycklig kod kan vara möjlig via en specialskriven PNG-fil som möjliggör att man frigör en oinitialiserad pekare i (1) png_read_png-funktionen, (2) pCAL-hanteringen av stycken eller (3) uppsättning av 16 bitars gammatabeller. (MFSA 2009-10)
- CVE-2009-0352
Det är möjligt att exekvera godtycklig kod via vektorer som relaterar till layoutmotorn. (MFSA 2009-01)
- CVE-2009-0353
Det är möjligt att exekvera godtycklig kod via vektoer som relaterar till JavaScript-motorn. (MFSA 2009-01)
- CVE-2009-0652
Bjoern Hoehrmann och Moxie Marlinspike upptäckte ett möjligt imitationsangrepp via Unicode-tecken som ritar rektanglar i internationaliserade domännamn. (MFSA 2009-15)
- CVE-2009-0771
Minneskorruption och felaktiga försäkringar har upptäckts i layoutmotorn, som kan leda till möjlig exekvering av godtycklig kod. (MFSA 2009-07)
- CVE-2009-0772
Layoutmotorn tillåter exekvering av godtycklig kod i vektorer som relaterar till nsCSSStyleSheet::GetOwnerNode, händelser och skräpinsamling. (MFSA 2009-07)
- CVE-2009-0773
JavaScript-motorn är sårbar för exekvering av godtycklig kod via flera vektorer. (MFSA 2009-07)
- CVE-2009-0774
Layoutmotorn tillåter exekvering av godtycklig kod via vektorer som relaterar till gczeal. (MFSA 2009-07)
- CVE-2009-0776
Georgi Guninski upptäckte att det är möjligt att erhålla xml-data via ett problem som relaterar till nsIRDFService. (MFSA 2009-09)
- CVE-2009-1302
H
Bläddrarmotorn är sårbar för en möjlig minneskorruption via flera vektorer. (MFSA 2009-14)
- CVE-2009-1303
Bläddrarmotorn är sårbar för en möjlig minneskorruption via nsSVGElement::BindToTree-funktionen. (MFSA 2009-14)
- CVE-2009-1307
Gregory Fleischer upptäckte att det är möjligt att kringgå Same Origin Policy när en flashfil öppnas via view-source:-schemat. (MFSA 2009-17)
- CVE-2009-1832
Möjlig godtycklig exekvering av kod upptäcktes via vektorer som innehöll
dubbel ramkonstruktion
. (MFSA 2009-24) - CVE-2009-1392
Flera problem upptäcktes i bläddrarmotorn som används av icedove, vilka kunde leda till möjlig exekvering av godtycklig kod. (MFSA 2009-24)
- CVE-2009-1836
Shuo Chen, Ziqing Mao, Yi-Min Wang och Ming Zhang rapporterade en potentiell mannen-i-mitten-attack när en proxu används, på grund av otillräckliga kontroller av särskilda proxysvar. (MFSA 2009-27)
- CVE-2009-1838
moz_bug_r_a4 upptäckte att det är möjligt att exekvera godtycklig JavaScript med chromeprivilegier på grund av ett fel i implementation av skräpinsamlingen. (MFSA 2009-29)
- CVE-2009-1841
moz_bug_r_a4 rapporterade att det är möjligt för skript från sidinnehåll att köra med höjda privilegier och på så sätt möjligen exekvera godtycklig kod med objektets chromeprivilegier. (MFSA 2009-32)
- No CVE id yet
Bernd Jendrissek upptäckte en potentiellt utnyttjbar krasch när ett flerdels-/alternativt epostbrev med en text-/utökad (text/enhanced) del visas. (MFSA 2009-33)
För den stabila utgåvan (Lenny) har dessa problem rättats i version 2.0.0.22-0lenny1.
Precis som nämndes i versionsfakta för Etch, behövdes säkerhetsstödet för Mozilla-produkterna i den gamla stabila utgåvan avslutas innan slutet av den ordinarie livscykeln för säkerhetsarbetet för Etch. Ni uppmanas starkt att uppgradera till den stabila utgåvan eller byta till en epostklient som fortfarande stöds.
För uttestningsutgåvan (Squeeze) kommer dessa problem att rättas inom kort.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2.0.0.22-1.
Vi rekommenderar att ni uppgraderar era icedove-paket.
- CVE-2009-0040
- Rättat i:
-
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1.dsc
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1.diff.gz
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_alpha.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_amd64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_arm.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_arm.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_arm.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_arm.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_hppa.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_i386.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_i386.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_i386.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_i386.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_ia64.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_mips.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_mips.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_mips.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_mips.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_mipsel.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_s390.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_s390.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_s390.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_s390.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_sparc.deb
- http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.