Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2797-1 icedove

Bulletin d'alerte Debian

DSA-2797-1 icedove -- Plusieurs vulnérabilités

Date du rapport :

13 novembre 2013

Paquets concernés :

icedove

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-5590, CVE-2013-5595, CVE-2013-5597, CVE-2013-5599, CVE-2013-5600, CVE-2013-5601, CVE-2013-5602, CVE-2013-5604.

Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans Icedove, la version de Debian du client de messagerie et de nouvelles Mozilla Thunderbird. Plusieurs erreurs de sécurité de la mémoire et d’autres erreurs d’implémentation pourraient conduire à l'exécution de code arbitraire.

La version d'Icedove dans la distribution oldstable (Squeeze) n'est plus prise en charge par des mises à jour de sécurité. Cependant, il est à noter que presque tous les problèmes de sécurité d'Icedove proviennent du moteur de navigation inclus. Ces problèmes de sécurité n'affectent Icedove que si les scripts et courriels en HTML sont activés. S'il existe des problèmes de sécurité spécifiques à Icedove (comme un hypothétique dépassement de tampon dans l'implémentation d'IMAP), nous nous efforcerons de rétroporter les correctifs dans oldstable.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 17.0.10-1~deb7u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 17.0.10-1.

Nous vous recommandons de mettre à jour vos paquets icedove.