Debian セキュリティ勧告

DSA-2720-1 icedove -- 複数の脆弱性

報告日時:

2013-07-06

影響を受けるパッケージ:

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2013-0795, CVE-2013-0801, CVE-2013-1670, CVE-2013-1674, CVE-2013-1675, CVE-2013-1676, CVE-2013-1677, CVE-2013-1678, CVE-2013-1679, CVE-2013-1680, CVE-2013-1681, CVE-2013-1682, CVE-2013-1684, CVE-2013-1685, CVE-2013-1686, CVE-2013-1687, CVE-2013-1690, CVE-2013-1692, CVE-2013-1693, CVE-2013-1694, CVE-2013-1697.

詳細:

複数のセキュリティ問題が Icedove、Debian 版の Mozilla Thunderbird メール及びニュースクライアントに見つかりました: メモリの安全性の複数の誤り、メモリの解放後利用脆弱性、権限確認の欠落、誤ったメモリ処理その他実装の誤りが任意のコードの実行や特権の昇格、情報漏洩、クロスサイトリクエストフォージェリ (CSRF) につながる可能性があります。

既に Iceweasel 向けに発表しているように、私たちは stable-security での Icedove のセキュリティ更新の方法を変更しています。セキュリティ修正をバックポートするのではなく Extended Support Release (延長サポート版) ブランチベースのリリースを提供しています。そういったわけで、この更新では Thunderbird 17 ベースのパッケージとなり、将来のある時点で ESR 17 が廃止されたときにはその次の ESR ブランチに切り替えます。

パッケージとして現在 Debian アーカイブにある Icedove 拡張の一部には新しいブラウザエンジンとは互換性のないものがあります。短期的な対処として、最新で互換性のあるバージョンが http://addons.mozilla.org から取得できます。

更新されて互換性のあるバージョンの Enigmail はこの更新に収録されています。

旧安定版 (oldstable) ディストリビューション (squeeze) にあるバージョンの Icedove は完全なセキュリティ更新でのサポート対象ではなくなっています。しかし、Icedove のセキュリティ問題はほとんど全てが、収録しているブラウザエンジンに起因していることには着目すべきでしょう。こういったセキュリティ問題は Icedove でスクリプトや HTML メールを有効にしている場合にのみ影響します。Icedove 特有のセキュリティ問題 (例えば仮に IMAP 実装にバッファオーバーフロー) があれば、私たちはそういった修正を旧安定版 (oldstable) にバックポートします。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 17.0.7-1~deb7u1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 17.0.7-1 で修正されています。

直ちに icedove パッケージをアップグレードすることを勧めます。