Информация по безопасности / 2011 / Информация о безопасности -- DSA-2313-1 iceweasel

Рекомендация Debian по безопасности

DSA-2313-1 iceweasel -- несколько уязвимостей

Дата сообщения:

29.09.2011

Затронутые пакеты:

iceweasel

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-2372, CVE-2011-2995, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000.

Более подробная информация:

В Iceweasel, веб-браузере на основе Firefox, было обнаружено несколько уязвимостей:

• CVE-2011-2372

  Мариуш Млинский обнаружил, что веб-сайты могут открывать диалог загрузки, в котором действием по умолчанию является открыть, когда пользователь нажимает клавишу ENTER.

• CVE-2011-2995

  Бенджамин Смедберг, Боб Клэри и Джесс Радерман обнаружили случаи аварийной остановки в движке отрисовки, которые могут приводить к выполнению произвольного кода.

• CVE-2011-2998

  Марк Каплан обнаружил отрицательное переполнение целых числе в движке JavaScript, которое может приводить к выполнению произвольного кода.

• CVE-2011-2999

  Борис Збарский обнаружил, что неправильная обработка объекта window.location может приводить к обходу правила одного источника.

• CVE-2011-3000

  Иэн Грэхэм обнаружил, что множественные заголовки Location могут приводить к CRLF-инъекции.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 1.9.0.19-14 пакета с исходным кодом xulrunner. Кроме того, в данном обновлении корневые сертификаты DigiNotar были отмечены как отозванные, а не как недоверенные.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 3.5.16-10. Кроме того, в данном обновлении скомпрометированные корневые сертификаты DigiNotar были отмечены как отозванные, а не как недоверенные.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 7.0-1.

Рекомендуется обновить пакеты iceweasel.