Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2295-1 iceape

Bulletin d'alerte Debian

DSA-2295-1 iceape -- Plusieurs vulnérabilités

Date du rapport :

17 août 2011

Paquets concernés :

iceape

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-0084, CVE-2011-2378, CVE-2011-2981, CVE-2011-2982, CVE-2011-2983, CVE-2011-2984.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la suite Internet Iceape, une version sans marque de Seamonkey :

• CVE-2011-0084

  regenrecht a découvert qu'une manipulation incorrecte de pointeur dans le code de traitement de SVG pourrait conduire à l'exécution de code arbitraire.

• CVE-2011-2378

  regenrecht a découvert qu'une gestion incorrecte de mémoire dans le traitement de DOM pourrait conduire à l'exécution de code arbitraire.

• CVE-2011-2981

  moz_bug_r_a_4 a découvert une vulnérabilité d'augmentation de droits de Chrome dans le code de traitement d'événements.

• CVE-2011-2982

  Gary Kwong, Igor Bukanov, Nils et Bob Clary ont découvert des bogues de corruption de mémoire. Cela peut permettre l'exécution de code arbitraire.

• CVE-2011-2983

  shutdown a découvert une fuite d'informations dans le traitement de RegExp.input.

• CVE-2011-2984

  moz_bug_r_a4 a découvert une vulnérabilité d'augmentation de droits de Chrome.

La distribution oldstable (Lenny) n'est pas concernée. Le paquet iceape ne fournit que le code XPCOM.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.0.11-7.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.0.14-5.

Nous vous recommandons de mettre à jour vos paquets iceape.