Debians sikkerhedsbulletin
DSA-2458-2 iceape -- flere sårbarheder
- Rapporteret den:
- 13. maj 2012
- Berørte pakker:
- iceape
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2012-0455, CVE-2012-0456, CVE-2012-0458, CVE-2012-0461, CVE-2012-0467, CVE-2012-0470, CVE-2012-0471, CVE-2012-0477, CVE-2012-0479.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i internetsuiten Iceape, en mærkevarefri udgave af Seamonkey:
- CVE-2012-0455
Soroush Dalili opdagede, at modforansaltninger mod udførelse af skripter op tværs af websteder i forbindelse med JavaScript-URL'er kunne omgås.
- CVE-2012-0456
Atte Kettunen opdagede, at en læsning uden for grænserne i SVG Filters medførte hukommelsesblotlæggelse.
- CVE-2012-0458
Mariusz Mlynski opdagede, at rettigheder kunne forøges ved hjælp af en JavaScript-URL som hjemmeside.
- CVE-2012-0461
Bob Clary opdagede hukommelseskorruptionsfejl, som måske kunne føre til udførelse af vilkårlig kode.
- CVE-2012-0467
Bob Clary, Christian Holler, Brian Hackett, Bobby Holley, Gary Kwong, Hilary Hall, Honza Bambas, Jesse Ruderman, Julian Seward og Olli Pettay opdagede hukommelseskorruptionsfejl, som kunne føre til udførelse af vilkårlig kode.
- CVE-2012-0470
Atte Kettunen opdagede, at en hukommelseskorruptionsfejl i gfxImageSurface måske kunne føre til udførelse af vilkårlig kode.
- CVE-2012-0471
Anne van Kesteren opdagede, at ukorrekt multibyte-tegn-encoding måske kunne føre til udførelse af skripter på tværs af websteder.
- CVE-2012-0477
Masato Kinugawa opdagede, at ukorrekt encoding af koreanske og kinesiske tegnsæt måske kunne føre til udførelse af skripter på tværs af websteder.
- CVE-2012-0479
Jeroen van der Gun opdagede en forfalskningssårbarhed i præsentationen af Atom- og RSS-feeds over HTTPS.
I den stabile distribution (squeeze), er dette problem rettet i version 2.0.11-12
I den ustabile distribution (sid), vil dette problem snart blive rettet.
Vi anbefaler at du opgraderer dine iceape-pakker.
- CVE-2012-0455