セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2746-1 icedove

Debian セキュリティ勧告

DSA-2746-1 icedove -- 複数の脆弱性

報告日時:

2013-08-29

影響を受けるパッケージ:

icedove

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2013-1701, CVE-2013-1709, CVE-2013-1710, CVE-2013-1713, CVE-2013-1714, CVE-2013-1717.

詳細:

複数のセキュリティ問題が Icedove、Debian 版の Mozilla Thunderbird メール及びニュースクライアントに見つかりました。メモリの安全性の複数の誤り、 権限確認の欠落その他実装の誤りが任意のコードの実行や クロスサイトスクリプティングにつながる可能性があります。

旧安定版 (oldstable) ディストリビューション (squeeze) にあるバージョンの Icedove は完全なセキュリティ更新でのサポート対象ではなくなっています。しかし、Icedove のセキュリティ問題はほとんど全てが、 収録しているブラウザエンジンに起因していることには着目すべきでしょう。 こういったセキュリティ問題は Icedove でスクリプトや HTML メールを有効にしている場合にのみ影響します。Icedove 特有のセキュリティ問題 (例えば仮に IMAP 実装にバッファオーバーフロー) があれば、私たちは そういった修正を旧安定版 (oldstable) にバックポートします。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 17.0.8-1~deb7u1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 17.0.8-1 で修正されています。

直ちに icedove パッケージをアップグレードすることを勧めます。