Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2297-1 icedove

Debians sikkerhedsbulletin

DSA-2297-1 icedove -- flere sårbarheder

Rapporteret den:

21. aug 2011

Berørte pakker:

icedove

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-0084, CVE-2011-2378, CVE-2011-2981, CVE-2011-2982, CVE-2011-2983, CVE-2011-2984.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i Icedove, en mærkevarefri udgave af mail-/newsklienten Thunderbird.

• CVE-2011-0084

  regenrecht opdagede at ukorrekt pointerhåndtering i SVG-behandlingskoden kunne føre til udførelse af vilkårlig kode.

• CVE-2011-2378

  regenrecht opdagede at ukorrekt hukommelseshåndtering i DCM-behandling kunne føre til udførelse af vilkårlig kode.

• CVE-2011-2981

  moz_bug_r_a_4 opdagede en Chrome-rettighedsforøgelsessårbarhed i eventhåndteringskoden.

• CVE-2011-2982

  Gary Kwong, Igor Bukanov, Nils og Bob Clary opdagede hukommelseskorruptionsfejl, som måske kunne føre til udførelse af vilkårlig kode.

• CVE-2011-2983

  shutdown opdagede en informationslækage i håndteringen af RegExp.input.

• CVE-2011-2984

  moz_bug_r_a4 opdagede en Chrome-rettighedsforøgelsessårbarhed.

Som angivet i udgivelsesbemærkningerne til Lenny (oldstable), var det nødvendigt at lade sikkerhedsunderstøttelsen af Icedove-pakkerne i den gamle stabile distribution stoppe før ophøret af Lennys regulære livscyklus med sikkerhedsopdateringer. Du opfordres kraftigt til at opgradere til den stabile distribution eller skifte til en anden mailklient.

I den stabile distribution (squeeze), er dette problem rettet i version 3.0.11-1+squeeze4.

I den ustabile distribution (sid), er dette problem rettet i version 3.1.12-1.

Vi anbefaler at du opgraderer dine iceweasel-pakker.