Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2746-1 icedove

Debians sikkerhedsbulletin

DSA-2746-1 icedove -- flere sårbarheder

Rapporteret den:

29. aug 2013

Berørte pakker:

icedove

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-1701, CVE-2013-1709, CVE-2013-1710, CVE-2013-1713, CVE-2013-1714, CVE-2013-1717.

Yderligere oplysninger:

Flere sikkerhedssårbarheder blev fundet i Icedove, Debians udgave af mail- og newsklienten Mozilla Thunderbird. Flere hukommelsessikkerhedsfejl, manglende rettighedskontroller og andre implementeringsfejl kunne føre til udførelse af vilkårlig kode eller udførelse af skripter på tværs af websteder.

Versionen af Icedove i den gamle stabile distribution (squeeze) understøttes ikke længere med komplette sikkerhedsopdateringer. Men man bør bemærke, at næsten alle sikkerhedsproblemer i Icedove stammer fra den medfølgende browsermotor. Sikkerhedsproblemerne påvirker kun Icedove hvis scripting og HTML-mails er aktiveret. Hvis der er sikkerhedsproblemer, som specifikt vedrører Icedove (fx et hypotetisk bufferoverløb i IMAP-implementeringen), vil vi forsøge at tilbageføre sådanne rettelser til den gamle stabile distribution.

I den stabile distribution (wheezy), er disse problemer rettet i version 17.0.8-1~deb7u1.

I den ustabile distribution (sid), er disse problemer rettet i version 17.0.8-1.

Vi anbefaler at du opgraderer dine icedove-pakker.