Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2720-1 icedove

Bulletin d'alerte Debian

DSA-2720-1 icedove -- Plusieurs vulnérabilités

Date du rapport :

6 juillet 2013

Paquets concernés :

icedove

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-0795, CVE-2013-0801, CVE-2013-1670, CVE-2013-1674, CVE-2013-1675, CVE-2013-1676, CVE-2013-1677, CVE-2013-1678, CVE-2013-1679, CVE-2013-1680, CVE-2013-1681, CVE-2013-1682, CVE-2013-1684, CVE-2013-1685, CVE-2013-1686, CVE-2013-1687, CVE-2013-1690, CVE-2013-1692, CVE-2013-1693, CVE-2013-1694, CVE-2013-1697.

Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans Icedove, la version Debian du client de courriers électroniques et lecteur de nouvelles Thunderbird de Mozilla. Plusieurs erreurs de sécurité de la mémoire, vulnérabilités d'utilisation de mémoire après libération, absence de vérification des droits, traitement incorrect de mémoire et autres erreurs d’implémentation pourraient conduire à l'exécution de code arbitraire, l'augmentation de droits, la divulgation d'informations ou une contrefaçon de requête intersite.

Comme déjà annoncé pour Iceweasel : nous sommes en train de modifier notre approche pour les mises à jour de sécurité d’Icedove dans stable-security : au lieu de rétroporter les correctifs de sécurité, nous fournissons maintenant des versions basées sur la branche ESR (« Extended Support Release »). Ainsi, cette mise à jour introduit des paquets basés sur Thunderbird 17 et nous passerons à la prochaine branche ESR quand la version ESR 17 ne sera plus prise en charge.

Quelques extensions d’Icedove actuellement empaquetées dans l'archive Debian ne sont pas compatibles avec le nouveau moteur du navigateur. Des versions à jour et compatibles peuvent être récupérées sur http://addons.mozilla.org en guise de solution à court terme.

Une version mise à jour et compatible d’Enigmail fait partie de cette mise à jour.

La version d’Icedove de la distribution oldstable (Squeeze) n’est plus suivie avec des mises à jour de sécurité complètes. Cependant, veuillez noter que presque tous les problèmes de sécurité d’Icedove proviennent du moteur du navigateur intégré. Ces problèmes de sécurité ne concernent Icedove que si les scripts et les messages en HTML sont activés. Si des problèmes de sécurité spécifiques à Icedove surviennent (par exemple un hypothétique dépassement de tampon dans l’implémentation d’IMAP), nous nous efforcerons de rétroporter ces correctifs dans oldstable.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 17.0.7-1~deb7u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 17.0.7-1.

Nous vous recommandons de mettre à jour vos paquets icedove.