Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2720-1 icedove

Debians sikkerhedsbulletin

DSA-2720-1 icedove -- flere sårbarheder

Rapporteret den:

6. jul 2013

Berørte pakker:

icedove

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-0795, CVE-2013-0801, CVE-2013-1670, CVE-2013-1674, CVE-2013-1675, CVE-2013-1676, CVE-2013-1677, CVE-2013-1678, CVE-2013-1679, CVE-2013-1680, CVE-2013-1681, CVE-2013-1682, CVE-2013-1684, CVE-2013-1685, CVE-2013-1686, CVE-2013-1687, CVE-2013-1690, CVE-2013-1692, CVE-2013-1693, CVE-2013-1694, CVE-2013-1697.

Yderligere oplysninger:

Flere sikkerhedsproblemer blev fundet i Icedove, Debians version af mail- og newsklienten Mozilla Thunderbird. Flere hukommelsessikkerhedsfejl, sårbarheder i forbindelse med anvendelse efter frigivelse, manglende rettighedskontroller, ukorrekt hukommelseshåndtering og andre implementeringsfejl, kunne føre til udførelse af vilkårlig kode, rettighedsforøgelse, informationsafsløring eller forespørgselsforfalskning på tværs af websteder.

Som allerede annonceret angående Iceweasel: Vi ændrer fremgangsmåden vedrørende sikkerhedsopdateringer til Icedove i stable-security. I stedet for at tilbageføre sikkerhedsrettelse, leverer vi nu en udgave baseret på forgreningen Extended Support Release. Dermed introducerer denne opdatering pakker baseret på Thunderbird 17, og på et tidspunkt i fremtiden vil vi skifte til den næste ESR-forgrening, når ESR 17 en gang udgår.

Nogle Icedove-udvidelser, som i øjeblikket er pakket i Debians arkiv, er ikke kompatible med den nye browsermotor. Ajourførte og kompatible versioner kan hentes fra http://addons.mozilla.org, som en midlertidig løsning.

En opdateret og kompatibel version af Enigmail er indeholdt i denne opdatering.

Icedove-versionen i den gamle stabile distribution (squeeze), er ikke længere understøttet med komplette sikkerhedsopdateringer. Men man bør bemærke, at næsten alle sikkerhedsproblemer i Icedove stammer fra den medfølgende browsermotor. De sikkerhedsproblemer påvirker kun Icedove, hvis scipting og HTML er aktiveret i mails. Hvis der er sikkerhedsproblemer, som er specifikt vedrørende Icedove (fx et hypotetisk bufferoverløb i IMAP-implementeringen), vil vi bestræbe os på at tilbageføre sådanne rettelser til oldstable.

I den stabile distribution (wheezy), er disse problemer rettet i version 17.0.7-1~deb7u1.

I den ustabile distribution (sid), er disse problemer rettet i version 17.0.7-1.

Vi anbefaler at du opgraderer dine icedove-pakker.