Debians sikkerhedsbulletin

DSA-2273-1 icedove -- flere sårbarheder

Rapporteret den:

6. jul 2011

Berørte pakker:

Sårbar:

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-0083, CVE-2011-0085, CVE-2011-2362, CVE-2011-2363, CVE-2011-2365, CVE-2011-2371, CVE-2011-2373, CVE-2011-2374, CVE-2011-2376.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i Icedove, en varemærkefri udgave af mail-/newsklienten Thunderbird..

CVE-2011-0083 / CVE-2011-2363
regenrecht opdagede to tilfælde af anvendelse efter frigivelse i SVG-behandlingen, hvilket kunne føre til udførelse af vilkårlig kode.
CVE-2011-0085
regenrecht opdagede et tilfælde af anvendelse efter frigivelse i XUL-behandlingen, hvilket kunne føre til udførelse af vilkårlig kode.
CVE-2011-2362
David Chan opdagede at cookie ikke var isoleret på tilstrækkelig vis.
CVE-2011-2371
Chris Rohlf og Yan Ivnitskiy opdagede et heltalsoverløb i JavaScript-maskinen, hvilket kunne føre til udførelse af vilkårlig kode.
CVE-2011-2373
Martin Barbella opdagede et tilfælde af anvendelse efter frigivelse i XUL-behandlingen, hvilket kunne føre til udførelse af vilkårlig kode.
CVE-2011-2374
Bob Clary, Kevin Brosnan, Nils, Gary Kwong, Jesse Ruderman og Christian Biesinger opdagede hukommelseskorruptionsfejl, som måske kunne føre til udførelse af vilkårlig kode.
CVE-2011-2376
Luke Wagner og Gary Kwong opdagede hukommelseskorruptionsfejl, som måske kunne føre til udførelse af vilkårlig kode.

Som angivet i udgivelsesbemærkningerne til Lenny (oldstable), var det nødvendigt at lade sikkerhedsunderstøttelsen af Icedove-pakkerne i den gamle stabile distribution stoppe før ophøret af Lennys regulære livscyklus med sikkerhedsopdateringer. Du opfordres kraftigt til at opgradere til den stabile distribution eller skifte til en anden mailklient.

I den stabile distribution (squeeze), er dette problem rettet i version 3.0.11-1+squeeze3.

I den ustabile distribution (sid), er dette problem rettet i version 3.1.11-1.

Vi anbefaler at du opgraderer dine icedove-pakker.