Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2699-1 iceweasel

Bulletin d'alerte Debian

DSA-2699-1 iceweasel -- Plusieurs vulnérabilités

Date du rapport :

2 juin 2013

Paquets concernés :

iceweasel

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-0773, CVE-2013-0775, CVE-2013-0776, CVE-2013-0780, CVE-2013-0782, CVE-2013-0783, CVE-2013-0787, CVE-2013-0788, CVE-2013-0793, CVE-2013-0795, CVE-2013-0796, CVE-2013-0800, CVE-2013-0801, CVE-2013-1670, CVE-2013-1674, CVE-2013-1675, CVE-2013-1676, CVE-2013-1677, CVE-2013-1678, CVE-2013-1679, CVE-2013-1680, CVE-2013-1681.

Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans Iceweasel, la version Debian du navigateur web Mozilla Firefox : plusieurs erreurs de sécurité de la mémoire, vulnérabilités d'absence de vérification des entrées, vulnérabilités d'utilisation de mémoire après libération, dépassements de tampons et autres erreurs de programmation pourraient conduire à l'exécution de code arbitraire, l'augmentation de droits, la fuite d'informations ou l'exécution de script intersite.

Nous sommes en train de modifier notre approche pour les mises à jour de sécurité pour Iceweasel, Icedove et Iceape dans stable-security : au lieu de rétroporter les correctifs de sécurité, nous fournissons maintenant des versions basées sur la branche ESR (« Extended Support Release »). Ainsi, cette mise à jour introduit des paquets basés sur Firefox 17 et nous passerons à la prochaine branche ESR quand la version ESR 17 ne sera plus prise en charge.

Quelques extensions Xul actuellement empaquetées dans l'archive Debian ne sont pas compatibles avec le nouveau moteur du navigateur. Des versions à jour et compatibles peuvent être récupérées depuis http://addons.mozilla.org en guise de solution à court terme. Une solution permettant de conserver des extensions empaquetées compatibles avec les versions distribuées par Mozilla est toujours à l'étude.

Nous n'avons pas les ressources suffisantes pour rétroporter plus longtemps les correctifs de sécurité d'Iceweasel dans oldstable-security. Si vous vous sentez capable d'assurer cette tâche et que vous souhaitez aider, veuillez contacter team@security.debian.org. Autrement, nous annoncerons la fin de la prise en charge de sécurité pour Iceweasel, Icedove et Iceape dans Squeeze lors de la prochaine mise à jour.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 17.0.6esr-1~deb7u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 17.0.6esr-1.

Nous vous recommandons de mettre à jour vos paquets iceweasel.