Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2699-1 iceweasel

Debians sikkerhedsbulletin

DSA-2699-1 iceweasel -- flere sårbarheder

Rapporteret den:

2. jun 2013

Berørte pakker:

iceweasel

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-0773, CVE-2013-0775, CVE-2013-0776, CVE-2013-0780, CVE-2013-0782, CVE-2013-0783, CVE-2013-0787, CVE-2013-0788, CVE-2013-0793, CVE-2013-0795, CVE-2013-0796, CVE-2013-0800, CVE-2013-0801, CVE-2013-1670, CVE-2013-1674, CVE-2013-1675, CVE-2013-1676, CVE-2013-1677, CVE-2013-1678, CVE-2013-1679, CVE-2013-1680, CVE-2013-1681.

Yderligere oplysninger:

Flere sikkerhedsproblemer er fundet i Iceweasel, Debians version af webbrowseren Mozilla Firefox: Flere fejl i forbindelse med hukommelsessikkerhed, manglende fornuftighedskontrol af inddata, anvendelse efter frigivelse, bufferoverløb og andre programmeringsfejl kunne føre til udførelse af vilkårlig kode, rettighedsforøgelse, informationslækager eller udførelse af skripter på tværs af websteder.

Vi ændrer på hvordan sikkerhedsopdateringer af Iceweasel, Icedove og Iceape håndteres i stable-security: I stedet for at tilbageføre sikkerhedsrettelser, leverer vi udgivelser baseret på forgreningen Extended Support Release. Dermed introducerer denne opdatering pakker baseret på Firefox 17, og en gang i fremtiden vil vi skifte til den næste ESR-forgrening, når ESR 17 ikke længere understøttes.

Nogle Xul-udvidelser, der i øjeblikket er pakket i Debians arkiv, er ikke kompatbile med den nyere browsermotor. Opdaterede og kompatible versioner kan hentes fra http://addons.mozilla.org, som en kortsigtet løsning. Der arbejdes stadig på en løsning, der gør at pakkede udvidelser forbliver kompatible med Mozillas udgivelser.

Vi har ikke længere ressourcer til at tilbageføre sikkerhedsrettelser til Iceweasel-udgaven i oldstable-security. Hvis du har evenerne og har lyst til at hjælpe til, så kontakt team@security.debian.org på engelsk. Ellers vil vi annoncere, at sikkerhedsunderstøttelsen af Iceweasel, Icedove og Iceape i Squeeze ophører fra og med næste opdateringsrunde.

I den stabile distribution (wheezy), er disse problemer rettet i version 17.0.6esr-1~deb7u1.

I den ustabile distribution (sid), er disse problemer rettet i version 17.0.6esr-1.

Vi anbefaler at du opgraderer dine iceweasel-pakker.