Bulletin d'alerte Debian
DSA-2312-1 iceape -- Plusieurs vulnérabilités
- Date du rapport :
- 29 septembre 2011
- Paquets concernés :
- iceape
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2011-2372, CVE-2011-2995, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans la suite Internet Iceape, une version sans marque de Seamonkey :
- CVE-2011-2372
Mariusz Mlynski a découvert que les sites Internet pourraient ouvrir une boîte de dialogue de téléchargement — dont l'action
ouvrir
est configurée par défaut —, quand un utilisateur presse la touche Entrée. - CVE-2011-2995
Benjamin Smedberg, Bob Clary et Jesse Ruderman ont découvert des plantages dans le moteur de rendu, qui pourraient conduire à l'exécution de code arbitraire.
- CVE-2011-2998
Mark Kaplan a découvert un débordement d'entier par le bas dans le moteur JavaScript. Cela pourrait permettre l'exécution de code arbitraire.
- CVE-2011-2999
Boris Zbarsky a découvert qu'un traitement incorrect de l'objet window.location pourrait permettre de contourner la politique de même origine.
- CVE-2011-3000
Ian Graham a découvert que plusieurs en-têtes
Location
pourraient permettre une injection de fin de ligne (CRLF).
La distribution oldstable (Lenny) n'est pas concernée. Le paquet iceape ne fournit que le code XPCOM.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.0.11-8. Cette mise à jour marque aussi les certificats racine compromis de DigiNotar comme révoqués plutôt que non fiables.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.0.14-8.
Nous vous recommandons de mettre à jour vos paquets iceape.
- CVE-2011-2372