Рекомендация Debian по безопасности

DSA-2297-1 icedove -- несколько уязвимостей

Дата сообщения:
21.08.2011
Затронутые пакеты:
icedove
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2011-0084, CVE-2011-2378, CVE-2011-2981, CVE-2011-2982, CVE-2011-2983, CVE-2011-2984.
Более подробная информация:

В Icedove, безбрендовой версии почтового и новостного клиента Thunderbird, было обнаружено несколько уязвимостей.

  • CVE-2011-0084

    regenrecht обнаружил, что неправильная работа с указателями в коде для обработки SVG может приводить к выполнению произвольного кода.

  • CVE-2011-2378

    regenrecht обнаружил, что неправильное управление памятью в коде для обработки DOM может приводить к выполнению произвольного кода.

  • CVE-2011-2981

    moz_bug_r_a_4 обнаружил повышений привилегий Chrome в коде обработчика событий.

  • CVE-2011-2982

    Гари Квон, Игорь Буканов, Нильс и Боб Клэри обнаружили ошибки с повреждением содержимого памяти, которые могут приводить к выполнению произвольного кода.

  • CVE-2011-2983

    shutdown обнаружил утечку информации в коде обработки RegExp.input.

  • CVE-2011-2984

    moz_bug_r_a4 обнаружил повышений привилегий Chrome.

Как указано в информации о выпуске Lenny (предыдущий стабильный выпуск) поддержка безопасности для пакетов Icedove в предыдущем стабильном выпуске должна быть прекращена до окончания обычного цикла поддержки безопасности Lenny. Настоятельно рекомендуется выполнить обновление до стабильного выпуска или перейти на использование другого почтового клиента.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 3.0.11-1+squeeze4.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.1.12-1.

Рекомендуется обновить пакеты iceweasel.