Bulletin d'alerte Debian

DSA-2180-1 iceape -- Plusieurs vulnérabilités

Date du rapport :

3 mars 2011

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la suite Internet Iceape, une version sans marque de Seamonkey :

CVE-2010-1585
Roberto Suggi Liverani a découvert que la validation réalisée par ParanoidFragmentSink était incomplète.
CVE-2011-0051
Zach Hoffmann a découvert que l'analyse incorrecte d'appels eval() récursifs pouvait permettre aux attaquants de forcer la confirmation dans une boîte de dialogue.
CVE-2011-0053
Des plantages dans le moteur de mise en page pourraient permettre l'exécution de code arbitraire.
CVE-2011-0054
Christian Holler a découvert des débordements de tampon dans le moteur Javascript, ce qui pourrait permettre l'exécution de code arbitraire.
CVE-2011-0055
regenrecht et Igor Bukanov ont découvert une erreur d'utilisation mémoire après libération (« use-after-free ») dans l'implémentation JSON. Cela pourrait mener à l'exécution de code arbitraire.
CVE-2011-0056
Christian Holler a découvert des débordements de tampon dans le moteur Javascript, ce qui pourrait permettre l'exécution de code arbitraire.
CVE-2011-0057
Daniel Kozlowski a découvert qu'un traitement incorrect de mémoire dans l'implémentation web workers pourrait permettre l'exécution de code arbitraire.
CVE-2011-0059
Peleus Uhley a découvert un risque de requête intersite contrefaite dans le code du greffon.

La distribution oldstable (Lenny) n'est pas concernée. Le paquet iceape ne fournit que le code XPCOM.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.0.11-3.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.0.12-1.

Nous vous recommandons de mettre à jour vos paquets iceape.