Bulletin d'alerte Debian
DSA-2297-1 icedove -- Plusieurs vulnérabilités
- Date du rapport :
- 21 août 2011
- Paquets concernés :
- icedove
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2011-0084, CVE-2011-2378, CVE-2011-2981, CVE-2011-2982, CVE-2011-2983, CVE-2011-2984.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans Icedove, une version sans marque du client de courrier électronique et lecteur de nouvelles Thunderbird.
- CVE-2011-0084
regenrecht
a découvert qu'une manipulation incorrecte de pointeur dans le code de traitement de SVG pourrait conduire à l'exécution de code arbitraire. - CVE-2011-2378
regenrecht
a découvert qu'une gestion incorrecte de mémoire dans le traitement de DOM pourrait conduire à l'exécution de code arbitraire. - CVE-2011-2981
moz_bug_r_a_4
a découvert une vulnérabilité d'augmentation de droits de Chrome dans le code de traitement d'événements. - CVE-2011-2982
Gary Kwong, Igor Bukanov, Nils et Bob Clary ont découvert des bogues de corruption de mémoire. Cela peut permettre l'exécution de code arbitraire.
- CVE-2011-2983
shutdown
a découvert une fuite d'informations dans le traitement de RegExp.input. - CVE-2011-2984
moz_bug_r_a4
a découvert une vulnérabilité d'augmentation de droits de Chrome.
Conformément aux notes de publication de Lenny (oldstable), le suivi en sécurité des paquets Icedove de oldstable a dû être arrêté avant la fin du cycle de vie normal de Lenny en matière de suivi en sécurité. Nous vous recommandons fortement de mettre à niveau vers stable, ou de basculer vers un autre client de messagerie.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.0.11-1+squeeze4.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.1.12-1.
Nous vous recommandons de mettre à jour vos paquets iceweasel.
- CVE-2011-0084