Информация по безопасности / 2011 / Информация о безопасности -- DSA-2297-1 icedove

Рекомендация Debian по безопасности

DSA-2297-1 icedove -- несколько уязвимостей

Дата сообщения:

21.08.2011

Затронутые пакеты:

icedove

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-0084, CVE-2011-2378, CVE-2011-2981, CVE-2011-2982, CVE-2011-2983, CVE-2011-2984.

Более подробная информация:

В Icedove, безбрендовой версии почтового и новостного клиента Thunderbird, было обнаружено несколько уязвимостей.

• CVE-2011-0084

  regenrecht обнаружил, что неправильная работа с указателями в коде для обработки SVG может приводить к выполнению произвольного кода.

• CVE-2011-2378

  regenrecht обнаружил, что неправильное управление памятью в коде для обработки DOM может приводить к выполнению произвольного кода.

• CVE-2011-2981

  moz_bug_r_a_4 обнаружил повышений привилегий Chrome в коде обработчика событий.

• CVE-2011-2982

  Гари Квон, Игорь Буканов, Нильс и Боб Клэри обнаружили ошибки с повреждением содержимого памяти, которые могут приводить к выполнению произвольного кода.

• CVE-2011-2983

  shutdown обнаружил утечку информации в коде обработки RegExp.input.

• CVE-2011-2984

  moz_bug_r_a4 обнаружил повышений привилегий Chrome.

Как указано в информации о выпуске Lenny (предыдущий стабильный выпуск) поддержка безопасности для пакетов Icedove в предыдущем стабильном выпуске должна быть прекращена до окончания обычного цикла поддержки безопасности Lenny. Настоятельно рекомендуется выполнить обновление до стабильного выпуска или перейти на использование другого почтового клиента.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 3.0.11-1+squeeze4.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.1.12-1.

Рекомендуется обновить пакеты iceweasel.