Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2762-1 icedove

Säkerhetsbulletin från Debian

DSA-2762-1 icedove -- flera sårbarheter

Rapporterat den:

2013-09-23

Berörda paket:

icedove

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2013-1718, CVE-2013-1722, CVE-2013-1725, CVE-2013-1730, CVE-2013-1732, CVE-2013-1735, CVE-2013-1736, CVE-2013-1737.

Ytterligare information:

Flera säkerhetsproblem har upptäckts i Icedove, Debians version av e-post- & nyhetsklienten Mozilla Thunderbird. Flera minnessäkerhetsfel och buffertspill kan leda till körning av skadlig kod.

Versionen av Icedove i den gamla stabila utgåvan (Squeeze) stöds inte längre med kompletta säkerhetsuppdateringar. Dock bör det uppmärksammas att nästan alla säkerhetsproblem i Icedove härrör från den inkluderade browser-motorn. Dessa säkerhetsproblem påverkar endast Icedove om funktionerna skriptning och HTML-epost är aktiverade. Om det finns säkerhetsproblem som är specifika för Icedove (t.ex. ett hypotetiskt buffertspill i IMAP-implementationen) så kommer vi göra en insats för att bakåtanpassa sådana rättningar till den gamla stabila utgåvan.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 17.0.9-1~deb7u1.

För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era icedove-paket.