Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2273-1 icedove

Bulletin d'alerte Debian

DSA-2273-1 icedove -- Plusieurs vulnérabilités

Date du rapport :

6 juillet 2011

Paquets concernés :

icedove

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-0083, CVE-2011-0085, CVE-2011-2362, CVE-2011-2363, CVE-2011-2365, CVE-2011-2371, CVE-2011-2373, CVE-2011-2374, CVE-2011-2376.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Icedove, une version sans marque du client de courrier électronique et lecteur de nouvelles Thunderbird.

• CVE-2011-0083 / CVE-2011-2363

  regenrecht a découvert deux utilisations de mémoire après libération dans le traitement de SVG. Cela pourrait permettre l'exécution de code arbitraire.

• CVE-2011-0085

  regenrecht a découvert une utilisation de mémoire après libération dans le traitement de XUL. Cela pourrait permettre l'exécution de code arbitraire.

• CVE-2011-2362

  David Chan a découvert que les cookies n'étaient pas suffisamment isolés.

• CVE-2011-2371

  Chris Rohlf et Yan Ivnitskiy ont découvert un débordement d'entier dans le moteur JavaScript. Cela pourrait permettre l'exécution de code arbitraire.

• CVE-2011-2373

  Martin Barbella a découvert une utilisation de mémoire après libération dans le traitement de XUL. Cela pourrait permettre l'exécution de code arbitraire.

• CVE-2011-2374

  Bob Clary, Kevin Brosnan, Nils, Gary Kwong, Jesse Ruderman et Christian Biesinger ont découvert des bogues de corruption de mémoire. Cela peut permettre l'exécution de code arbitraire.

• CVE-2011-2376

  Luke Wagner et Gary Kwong ont découvert des bogues de corruption de mémoire. Cela peut permettre l'exécution de code arbitraire.

Conformément aux notes de publication de Lenny (oldstable), le suivi en sécurité des paquets Icedove de oldstable a dû être arrêté avant la fin du cycle de vie normal de Lenny en matière de suivi en sécurité. Nous vous recommandons fortement de mettre à niveau vers stable, ou de basculer vers un autre client de messagerie.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.0.11-1+squeeze3.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.1.11-1.

Nous vous recommandons de mettre à jour vos paquets icedove.