Debian セキュリティ勧告

DSA-2699-1 iceweasel -- 複数の脆弱性

報告日時:

2013-06-02

影響を受けるパッケージ:

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2013-0773, CVE-2013-0775, CVE-2013-0776, CVE-2013-0780, CVE-2013-0782, CVE-2013-0783, CVE-2013-0787, CVE-2013-0788, CVE-2013-0793, CVE-2013-0795, CVE-2013-0796, CVE-2013-0800, CVE-2013-0801, CVE-2013-1670, CVE-2013-1674, CVE-2013-1675, CVE-2013-1676, CVE-2013-1677, CVE-2013-1678, CVE-2013-1679, CVE-2013-1680, CVE-2013-1681.

詳細:

複数のセキュリティ問題が Iceweasel、Debian 版の Mozilla Firefox ウェブブラウザに見つかりました: メモリの安全性の複数の誤り、入力のサニタイジング欠落脆弱性、メモリの解放後利用脆弱性、バッファオーバーフローその他のプログラミングの誤りが任意のコードの実行や特権の昇格、情報漏洩、クロスサイトスクリプティングにつながる可能性があります。

私たちは stable-security での Iceweasel や Icedove、Iceape のセキュリティ更新の方法を変更しており、セキュリティ修正をバックポートするのではなく Extended Support Release (延長サポート版) ブランチベースのリリースを提供しています。そういったわけで、この更新では Firefox 17 ベースのパッケージとなり、将来のある時点で ESR 17 が廃止されたときにはその次の ESR ブランチに切り替えます。

パッケージとして現在 Debian アーカイブにある Xul 拡張の一部には新しいブラウザエンジンとは互換性のないものがあります。短期的な対処として、最新で互換性のあるバージョンが http://addons.mozilla.org から取得できます。この Mozilla リリースと互換性のある拡張パッケージの保守については現在のところ状況を整理中です。

旧安定版 (oldstable) のセキュリティでリリースされる Iceweasel 向けにセキュリティ修正をバックポートするリソースはもう私たちにはありません。その作業を行う、支援したいという人がいれば team@security.debian.org と連絡を取ってください。ない場合は次回の更新時期に Squeeze 向けの Iceweasel、Icedove、Iceape のセキュリティサポート終了を発表することになります。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 17.0.6esr-1~deb7u1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 17.0.6esr-1 で修正されています。

直ちに iceweasel パッケージをアップグレードすることを勧めます。