Информация по безопасности / 2013 / Информация о безопасности -- DSA-2699-1 iceweasel

Рекомендация Debian по безопасности

DSA-2699-1 iceweasel -- несколько уязвимостей

Дата сообщения:

02.06.2013

Затронутые пакеты:

iceweasel

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-0773, CVE-2013-0775, CVE-2013-0776, CVE-2013-0780, CVE-2013-0782, CVE-2013-0783, CVE-2013-0787, CVE-2013-0788, CVE-2013-0793, CVE-2013-0795, CVE-2013-0796, CVE-2013-0800, CVE-2013-0801, CVE-2013-1670, CVE-2013-1674, CVE-2013-1675, CVE-2013-1676, CVE-2013-1677, CVE-2013-1678, CVE-2013-1679, CVE-2013-1680, CVE-2013-1681.

Более подробная информация:

В Iceweasel, версии Mozilla Firefox для Debian, были обнаружены многочисленный проблемы безопасности: многочисленный ошибки безопасности памяти, отсутствие очистки ввода, использования после освобождения, переполнения буфера и другие ошибки программирования могут приводить к выполнению произвольного кода, повышению привилегий, утечкам информации или межсайтовому скриптингу.

Мы меняем подход к обновлениям безопасности для Iceweasel, Icedove и Iceape в стабильном выпуске: вместо обратного переноса исправлений безопасности мы теперь предоставляем выпуски на основе ветки Extended Support Release. Как таковое, данное обновление включает пакеты на основе Firefox 17, когда-нибудь в будущем мы перейдём на следующую ветку ESR, когда ESR 17 достигнет окончания своего жизненного цикла.

Некоторые расширения Xul, для которых имеются пакеты в архиве Debian, не совместимы с новым движком браузера. Актуальные и совместимые версии могут быть получены по адресу http://addons.mozilla.org, это является временным решением. Решение по вопросу о том, нужно ли делать так, чтобы расширения были совместимы с выпусками Mozilla, ещё улаживается.

У нас нет ресурсов для обратного переноса исправлений безопасности для выпуска Iceweasel из предыдущего стабильного выпуска. Если вы готовы взяться за эту задачу и хотите помочь, свяжитесь с team@security.debian.org. В противном случае мы анонсируем окончание поддержки безопасности для Iceweasel, Icedove и Iceape в Squeeze в следующем цикле обновления.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 17.0.6esr-1~deb7u1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 17.0.6esr-1.

Рекомендуется обновить пакеты iceweasel.