Debians sikkerhedsbulletin
DSA-2313-1 iceweasel -- flere sårbarheder
- Rapporteret den:
- 29. sep 2011
- Berørte pakker:
- iceweasel
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2011-2372, CVE-2011-2995, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000.
- Yderligere oplysninger:
-
Flere sårbarheder er fundet i Iceweasel, en webbrowser baseret på Firefox:
- CVE-2011-2372
Mariusz Mlynski opdagede at websteder kunne åbne en downloaddialog, der har
open
som sin standardhandling, men en bruger trykkede på enter-tasten. - CVE-2011-2995
Benjamin Smedberg, Bob Clary og Jesse Ruderman opdagede nedbrud i renderingmaskinen, hvilket kunne føre til udførelse af vilkårlig kode.
- CVE-2011-2998
Mark Kaplan opdagede et heltalsunderløb i JavaScript-maskinen, hvilket kunne føre til udførelse af vilkårlig kode.
- CVE-2011-2999
Boris Zbarsky opdagede ukorrekt håndtering af objektet window.location kunne føre til omgåelse af samme ophav-reglen.
- CVE-2011-3000
Ian Graham opdagede at flere Location-headere måske kunne føre til en CRLF-indsprøjtning.
I den gamle stabile distribution (lenny), er dette problem rettet i version 1.9.0.19-14 af kildekodepakken xulrunner. Opdateringen markerer også de kompromitterede DigiNotar-rodcertifikater som tilbagetrukne frem for at der ikke er tillid til dem.
I den stabile distribution (squeeze), er dette problem rettet i version 3.5.16-10. Opdateringen markerer også de kompromitterede DigiNotar-rodcertifikater som tilbagetrukne frem for at der ikke er tillid til dem.
I den ustabile distribution (sid), er dette problem rettet i version 7.0-1.
Vi anbefaler at du opgraderer dine iceweasel-pakker.
- CVE-2011-2372