Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2317-1 icedove

Säkerhetsbulletin från Debian

DSA-2317-1 icedove -- flera sårbarheter

Rapporterat den:

2011-10-05

Berörda paket:

icedove

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2011-2372, CVE-2011-2995, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000.

Ytterligare information:

• CVE-2011-2372

  Mariusz Mlynski upptäckte att webbplatser kunde öppna en hämtningsdialog - som har open som standardaktivitet -, medan en användare trycker på ENTER-tangenten.

• CVE-2011-2995

  Benjamin Smedberg, Bob Clary och Jesse Ruderman upptäckte krascher i renderingsmotorn, som kunde leda till körning av godtycklig kod.

• CVE-2011-2998

  Mark Kaplan upptäckte ett heltalsunderspill i JavaScript-motorn, vilket kunde leda till exekvering av godtycklig kod.

• CVE-2011-2999

  Boris Zbarsky upptäckte att felaktig hantering av window.location-objektet kunde leda till förbigång av samma-ursprung-policyn.

• CVE-2011-3000

  Ian Graham upptäckte att flera Plats-rubriker kan leda till CRLF-injicering.

Som indikerats av versionsfakta för Lenny (gamla stabila utgåvan), måste säkerhetsstöd för Icedove-paketen i den gamla stabila utgåvan stoppas före slutet på löpande underhåll för Lennys livscykel för säkerhetsstöd. Du rekommenderas starkt att uppgradera till den stabila utgåvan eller att byta till en annan e-postklient.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 3.0.11-1+squeeze5.

För den instabila utgåvan (Sid) har detta problem rättats i version 3.1.15-1.

Vi rekommenderar att ni uppgraderar era icedove-paket.