Информация по безопасности / 2013 / Информация о безопасности -- DSA-2720-1 icedove

Рекомендация Debian по безопасности

DSA-2720-1 icedove -- несколько уязвимостей

Дата сообщения:

06.07.2013

Затронутые пакеты:

icedove

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-0795, CVE-2013-0801, CVE-2013-1670, CVE-2013-1674, CVE-2013-1675, CVE-2013-1676, CVE-2013-1677, CVE-2013-1678, CVE-2013-1679, CVE-2013-1680, CVE-2013-1681, CVE-2013-1682, CVE-2013-1684, CVE-2013-1685, CVE-2013-1686, CVE-2013-1687, CVE-2013-1690, CVE-2013-1692, CVE-2013-1693, CVE-2013-1694, CVE-2013-1697.

Более подробная информация:

В Icedove, версии почтового клиента и клиента новостей Mozilla Thunderbird для Debian, были обнаружены многочисленный проблемы с безопасностью. Многочисленные ошибки безопасности памяти, использование после освобождения, отсутствующие проверки прав доступа, неправильная обработка памяти и другие ошибки реализации могут приводить к выполнению произвольного кода, повышению привилегий, раскрытию информации или к подделке межсайтовых запросов.

Как уже было объявлено для Iceweasel: мы меняем подход к предоставлению обновлений безопасности для Icedove в стабильном выпуске: вместо обратного переноса исправлений безопасности мы теперь предоставляем выпуски на основе ветки Extended Support Release. Как таковое, данное обновление добавляет пакеты на основе Thunderbird 17 и когда-нибудь в будущем мы перейдём на следующую ветку ESR, когда ветка ESR 17 достигнет окончания своего жизненного цикла.

Некоторые расширения Icedove, пакеты для которых в настоящее время имеются в архиве Debian, несовместимы с новым движком браузера. Актуальные и совместимые версии могут быть получены по адресу http://addons.mozilla.org, что является временным решением.

Обновлённая и совместимая версия Enigmail включена в данное обновление.

Версия Icedove в предыдущем стабильном выпуске (squeeze) более не поддерживается полными обновлениями безопасности. Тем не менее, следует отметить, что почти все проблемы с безопасностью в Icedove возникают из-за включённого движка браузера. Эти проблемы безопасности оказывают влияние на Icedove только в том случае, если включены сценарии и почта в формате HTML. Если будут обнаружены проблемы безопасности, специфичные для Icedove (напр., гипотетическое переполнение буфера в реализации IMAP), мы попытаемся осуществить обратный перенос исправлений таких ошибок в предыдущий стабильный выпуск.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 17.0.7-1~deb7u1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 17.0.7-1.

Рекомендуется обновить пакеты icedove.