Рекомендация Debian по безопасности

DSA-2317-1 icedove -- несколько уязвимостей

Дата сообщения:
05.10.2011
Затронутые пакеты:
icedove
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2011-2372, CVE-2011-2995, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000.
Более подробная информация:
  • CVE-2011-2372

    Мариуш Млинский обнаружил, что веб-сайты могут открывать диалоговое окно загрузки, в котором по умолчанию выбрано действие открыть, в то время как пользователь нажимает клавишу ENTER.

  • CVE-2011-2995

    Бенджамин Смедберг, Боб Клэри и Джес Радерман обнаружили случаи аварийной остановки в движке отрисовки, которые могут приводить к выполнению произвольного кода.

  • CVE-2011-2998

    Марк Каплан обнаружил отрицательное переполнение целых чисел в движке JavaScript, которое может приводить к выполнению произвольного кода.

  • CVE-2011-2999

    Борис Збарский обнаружил, что неправильная обработка объекта window.location может приводить к обходу правила одного источника.

  • CVE-2011-3000

    Иэн Грэхэм обнаружил, что множественные заголовки Location могут приводить к CRLF-инъекции.

Как было ранее указано в информации о выпуске Lenny (предыдущий стабильный выпуск), поддержка безопасности пакетов Icedove должна быть прекращена до окончания обычного жизненного цикла поддержки безопасности Lenny. Настоятельно рекомендуется выполнить обновление до стабильного выпуска, либо перейти на использование другого почтового клиента.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 3.0.11-1+squeeze5.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.1.15-1.

Рекомендуется обновить пакеты icedove.