Bulletin d'alerte Debian
DSA-1392-1 xulrunner -- Plusieurs vulnérabilités
- Date du rapport :
- 20 octobre 2007
- Paquets concernés :
- xulrunner
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2007-1095, CVE-2007-2292, CVE-2007-3511, CVE-2007-5334, CVE-2007-5337, CVE-2007-5338, CVE-2007-5339, CVE-2007-5340.
- Plus de précisions :
-
Plusieurs vulnérabilités à distance ont été découvertes dans Xulrunner, un environnement d'exécution pour les applications XUL. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
- CVE-2007-1095
Michal Zalewski a découvert que le gestionnaire de l'événement unload avait accès à l'adresse de la ressource suivante à charger. Cela peut permettre la divulgation d'information ou l'usurpation de site.
- CVE-2007-2292
Stefano Di Paola a découvert qu'une validation insuffisante des noms d'utilisateurs utilisée dans l'authentification par résumé sur un site permettrait des attaques par découpages des réponses HTTP.
- CVE-2007-3511
On a découvert qu'une gestion peu sûre de l'élément actif du contrôleur de téléchargement des fichiers pouvait conduire à divulguer des informations. Il s'agit d'une variante de la vulnérabilité CVE-2006-2894.
- CVE-2007-5334
Eli Friedman a découvert que des pages écrites en XUL pouvaient cacher la barre de titre des fenêtres. Cela peut conduire à des attaques par usurpation de site.
- CVE-2007-5337
Georgi Guninski a découvert que la gestion peu sûre des schémas de ressources smb:// et sftp:// pouvait conduire à la divulgation d'informations. Cette vulnérabilité n'est exploitable que si la gestion de Gnome-VFS est présente sur le système.
- CVE-2007-5338
moz_bug_r_a4
a découvert que le schéma de protection offert par XPCNativeWrappers pouvait être contourné. Cela pourrait permettre une augmentation des privilèges. - CVE-2007-5339
L. David Baron, Boris Zbarsky, Georgi Guninski, Paul Nickerson, Olli Pettay, Jesse Ruderman, Vladimir Sukhoy, Daniel Veditz, et Martijn Wargers ont découvert des plantages dans le moteur de rendu. Cela pourrait permettre l'exécution de code arbitraire.
- CVE-2007-5340
Igor Bukanov, Eli Friedman, et Jesse Ruderman ont découvert des plantages dans le moteur de JavaScript. Cela pourrait permettre l'exécution de code arbitraire.
L'ancienne distribution stable (Sarge) ne contient pas xulrunner.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.8.0.14~pre071019b-0etch1. Les constructions pour les architectures hppa et mipsel seront fournies ultérieurement.
Pour la distribution instable (Sid), ces problèmes seront corrigés prochainement.
Nous vous recommandons de mettre à jour vos paquets xulrunner.
- CVE-2007-1095
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.14~pre071019b-0etch1.dsc
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.14~pre071019b-0etch1.diff.gz
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.14~pre071019b.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.14~pre071019b-0etch1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozillainterfaces-java_1.8.0.14~pre071019b-0etch1_all.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs-dev_1.8.0.14~pre071019b-0etch1_all.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-dev_1.8.0.14~pre071019b-0etch1_all.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-dev_1.8.0.14~pre071019b-0etch1_all.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libsmjs-dev_1.8.0.14~pre071019b-0etch1_all.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libsmjs1_1.8.0.14~pre071019b-0etch1_all.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul-common_1.8.0.14~pre071019b-0etch1_all.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul-dev_1.8.0.14~pre071019b-0etch1_all.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs-dev_1.8.0.14~pre071019b-0etch1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.14~pre071019b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.14~pre071019b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.14~pre071019b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.14~pre071019b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.14~pre071019b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.14~pre071019b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.14~pre071019b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.14~pre071019b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.14~pre071019b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.14~pre071019b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.14~pre071019b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.14~pre071019b-0etch1_alpha.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.14~pre071019b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.14~pre071019b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.14~pre071019b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.14~pre071019b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.14~pre071019b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.14~pre071019b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.14~pre071019b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.14~pre071019b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.14~pre071019b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.14~pre071019b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.14~pre071019b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.14~pre071019b-0etch1_amd64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.14~pre071019b-0etch1_arm.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_arm.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.14~pre071019b-0etch1_arm.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.14~pre071019b-0etch1_arm.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.14~pre071019b-0etch1_arm.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.14~pre071019b-0etch1_arm.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.14~pre071019b-0etch1_arm.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.14~pre071019b-0etch1_arm.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.14~pre071019b-0etch1_arm.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.14~pre071019b-0etch1_arm.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.14~pre071019b-0etch1_arm.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.14~pre071019b-0etch1_arm.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.14~pre071019b-0etch1_arm.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.14~pre071019b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.14~pre071019b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.14~pre071019b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.14~pre071019b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.14~pre071019b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.14~pre071019b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.14~pre071019b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.14~pre071019b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.14~pre071019b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.14~pre071019b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.14~pre071019b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.14~pre071019b-0etch1_i386.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.14~pre071019b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.14~pre071019b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.14~pre071019b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.14~pre071019b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.14~pre071019b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.14~pre071019b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.14~pre071019b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.14~pre071019b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.14~pre071019b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.14~pre071019b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.14~pre071019b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.14~pre071019b-0etch1_ia64.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_ia64.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.14~pre071019b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.14~pre071019b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.14~pre071019b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.14~pre071019b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.14~pre071019b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.14~pre071019b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.14~pre071019b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.14~pre071019b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.14~pre071019b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.14~pre071019b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.14~pre071019b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.14~pre071019b-0etch1_mips.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_mips.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.14~pre071019b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.14~pre071019b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.14~pre071019b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.14~pre071019b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.14~pre071019b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.14~pre071019b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.14~pre071019b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.14~pre071019b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.14~pre071019b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.14~pre071019b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.14~pre071019b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.14~pre071019b-0etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.14~pre071019b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.14~pre071019b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.14~pre071019b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.14~pre071019b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.14~pre071019b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.14~pre071019b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.14~pre071019b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.14~pre071019b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.14~pre071019b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.14~pre071019b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.14~pre071019b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.14~pre071019b-0etch1_s390.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d_1.8.0.14~pre071019b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d_1.8.0.14~pre071019b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnspr4-0d-dbg_1.8.0.14~pre071019b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d_1.8.0.14~pre071019b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-0d-dbg_1.8.0.14~pre071019b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libnss3-tools_1.8.0.14~pre071019b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d_1.8.0.14~pre071019b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libxul0d-dbg_1.8.0.14~pre071019b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/python-xpcom_1.8.0.14~pre071019b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/spidermonkey-bin_1.8.0.14~pre071019b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner_1.8.0.14~pre071019b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/xulrunner-gnome-support_1.8.0.14~pre071019b-0etch1_sparc.deb
- http://security.debian.org/pool/updates/main/x/xulrunner/libmozjs0d-dbg_1.8.0.14~pre071019b-0etch1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.