Säkerhetsbulletin från Debian
DSA-2317-1 icedove -- flera sårbarheter
- Rapporterat den:
- 2011-10-05
- Berörda paket:
- icedove
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2011-2372, CVE-2011-2995, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000.
- Ytterligare information:
-
- CVE-2011-2372
Mariusz Mlynski upptäckte att webbplatser kunde öppna en hämtningsdialog - som har
open
som standardaktivitet -, medan en användare trycker på ENTER-tangenten. - CVE-2011-2995
Benjamin Smedberg, Bob Clary och Jesse Ruderman upptäckte krascher i renderingsmotorn, som kunde leda till körning av godtycklig kod.
- CVE-2011-2998
Mark Kaplan upptäckte ett heltalsunderspill i JavaScript-motorn, vilket kunde leda till exekvering av godtycklig kod.
- CVE-2011-2999
Boris Zbarsky upptäckte att felaktig hantering av window.location-objektet kunde leda till förbigång av samma-ursprung-policyn.
- CVE-2011-3000
Ian Graham upptäckte att flera Plats-rubriker kan leda till CRLF-injicering.
Som indikerats av versionsfakta för Lenny (gamla stabila utgåvan), måste säkerhetsstöd för Icedove-paketen i den gamla stabila utgåvan stoppas före slutet på löpande underhåll för Lennys livscykel för säkerhetsstöd. Du rekommenderas starkt att uppgradera till den stabila utgåvan eller att byta till en annan e-postklient.
För den stabila utgåvan (Squeeze) har detta problem rättats i version 3.0.11-1+squeeze5.
För den instabila utgåvan (Sid) har detta problem rättats i version 3.1.15-1.
Vi rekommenderar att ni uppgraderar era icedove-paket.
- CVE-2011-2372