Bulletin d'alerte Debian
DSA-2317-1 icedove -- Plusieurs vulnérabilités
- Date du rapport :
- 5 octobre 2011
- Paquets concernés :
- icedove
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2011-2372, CVE-2011-2995, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000.
- Plus de précisions :
-
- CVE-2011-2372
Mariusz Mlynski a découvert que les sites Internet pourraient ouvrir une boîte de dialogue de téléchargement — dont l'action
ouvrir
est configurée par défaut —, quand un utilisateur presse la touche Entrée. - CVE-2011-2995
Benjamin Smedberg, Bob Clary et Jesse Ruderman ont découvert des plantages dans le moteur de rendu, qui pourraient conduire à l'exécution de code arbitraire.
- CVE-2011-2998
Mark Kaplan a découvert un débordement d'entier par le bas dans le moteur JavaScript. Cela pourrait permettre l'exécution de code arbitraire.
- CVE-2011-2999
Boris Zbarsky a découvert qu'un traitement incorrect de l'objet window.location pourrait permettre de contourner la politique de même origine.
- CVE-2011-3000
Ian Graham a découvert que plusieurs en-têtes
Location
pourraient permettre une injection de fin de ligne (CRLF).
Conformément aux notes de publication de Lenny (oldstable), le suivi en sécurité des paquets Icedove de oldstable a dû être arrêté avant la fin du cycle de vie normal de Lenny en matière de suivi en sécurité. Nous vous recommandons fortement de mettre à niveau vers stable, ou de basculer vers un autre client de messagerie.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.0.11-1+squeeze5.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.1.15-1.
Nous vous recommandons de mettre à jour vos paquets icedove.
- CVE-2011-2372