セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2345-1 icedove

Debian セキュリティ勧告

DSA-2345-1 icedove -- 複数の脆弱性

報告日時:

2011-11-11

影響を受けるパッケージ:

icedove

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2011-3647, CVE-2011-3648, CVE-2011-3650.

詳細:

Thunderbird を元にしたメールクライアント icedove に、複数の問題が発見 されました。

• CVE-2011-3647

  moz_bug_r_a4 さんにより、アドオンの扱いに特権の昇格を招く欠陥が 発見されました。

• CVE-2011-3648

  はせがわようすけさんにより、誤ったシフト JIS の処理が、クロスサイ トスクリプティング攻撃に繋がることが発見されました。

• CVE-2011-3650

  Marc Schoenefeld さんにより、Javascript コードのプロファイリングが メモリ破壊に繋がることが発見されました。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題は バージョン 3.0.11-1+squeeze6 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、 これらの問題はバージョン 3.1.15-1 で修正されています。

直ぐに icedove パッケージをアップグレードすることを勧めます。