Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2720-1 icedove

Säkerhetsbulletin från Debian

DSA-2720-1 icedove -- flera sårbarheter

Rapporterat den:

2013-07-06

Berörda paket:

icedove

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2013-0795, CVE-2013-0801, CVE-2013-1670, CVE-2013-1674, CVE-2013-1675, CVE-2013-1676, CVE-2013-1677, CVE-2013-1678, CVE-2013-1679, CVE-2013-1680, CVE-2013-1681, CVE-2013-1682, CVE-2013-1684, CVE-2013-1685, CVE-2013-1686, CVE-2013-1687, CVE-2013-1690, CVE-2013-1692, CVE-2013-1693, CVE-2013-1694, CVE-2013-1697.

Ytterligare information:

Flera säkerhetsproblem har upptäckts i Icedove, Debians version av e-post- och nyhetsklienten Mozilla Thunderbird. Flera minnessäkerhetsproblem, användning-efter-frigörningssårbarheter, saknade rättighetskontroller, felaktig minneshantering och andra implementationsfel kan leda till exekvering av skadlig kod, utökning av privilegier, avslöjande av information eller serveröverskridande anropsförfalskning.

Som tidigare har tillkännagivits för Iceweasel så ändrar vi strategi för säkerhetsuppdateringar för Icedove i säkerhetshanteringen för stabila utgåvan: istället för att bakåtportera säkerhetsrättningar så tillhandahåller vi utgåvor baserade på Extended Support Release-grenen (ESR). Som sådan så introducerar denna uppdatering paket baserade på Thunderbird 17 och vid något tillfälle i framtiden kommer vi att byta till nästa ESR-gren när ESR 17 har nått slutet på sin livslängd,

Några Icedovetillägg som för närvarande är paketerade i Debianarkivet är inte kompatibla med den nya webbläsarmotorn. Som en kortsiktig lösning kan uppdaterade och kompatibla versioner hämtas från http://addons.mozilla.org.

En uppdaterad och kompatibel version av Enigmail inkluderas med denna uppdatering.

Versionen av Icedove i den gamla stabila utgåvan (Squeeze) stöds inte längre med kompletta säkerhetsuppdateringar. Dock så bör det noteras att nästan alla säkerhetsproblem i Icedove härrör från den inkluderad webbläsarmotorn. Dessa säkerhetsproblem påverkar endast Icedove om scriptning och HTML-brev är aktiverade. Om det finns säkerhetsproblem som är specifika till Icedove (t.ex. ett hypotetiskt buffertspill i IMAP-implementationen) så kommer vi att göra en insats för att bakåtportera sådana rättningar till oldstable.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 17.0.7-1~deb7u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 17.0.7-1.

Vi rekommenderar att ni uppgraderar era icedove-paket.