Bulletin d'alerte Debian

DSA-2235-1 icedove -- Plusieurs vulnérabilités

Date du rapport :

10 mai 2011

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-0065, CVE-2011-0066, CVE-2011-0067, CVE-2011-0069, CVE-2011-0070, CVE-2011-0071, CVE-2011-0072, CVE-2011-0073, CVE-2011-0074, CVE-2011-0075, CVE-2011-0077, CVE-2011-0078, CVE-2011-0080, CVE-2011-0081.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Icedove, une version sans marque du client de courrier électronique et lecteur de nouvelles Thunderbird.

CVE-2011-0069 CVE-2011-0070 CVE-2011-0072 CVE-2011-0074 CVE-2011-0075 CVE-2011-0077 CVE-2011-0078 CVE-2011-0080 CVE-2011-0081
Scoobidiver, Ian Beer Bob Clary, Henri Sivonen, Marco Bonardo, Mats Palmgren, Jesse Ruderman, Aki Kelin et Martin Barbella ont découvert des bogues de corruption de mémoire. Cela pourrait conduire à l'exécution de code arbitraire.
CVE-2011-0065 CVE-2011-0066 CVE-2011-0073
regenrecht a découvert plusieurs vulnérabilités de pointeur bancal. Cela pourrait conduire à l'exécution de code arbitraire.
CVE-2011-0067
Paul Stone a découvert que des appliquettes Java pourraient voler des renseignements à partir de l'historique d'autocomplétion.
CVE-2011-0071
Soroush Dalili a découvert une vulnérabilité de traversée de répertoires dans le traitement des URI de ressource.

Conformément aux notes de publication de Lenny (oldstable), le suivi en sécurité des paquets Icedove de oldstable a dû être arrêté avant la fin du cycle de vie normal de Lenny en matière de suivi en sécurité. Nous vous recommandons fortement de mettre à niveau vers stable, ou de basculer vers un autre client de messagerie.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.0.11-1+squeeze2.

Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets icedove.