Bulletin d'alerte Debian

DSA-1401-1 iceape -- Plusieurs vulnérabilités

Date du rapport:

5 novembre 2007

Paquets concernés:

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2007-1095, CVE-2007-2292, CVE-2007-3511, CVE-2007-5334, CVE-2007-5337, CVE-2007-5338, CVE-2007-5339, CVE-2007-5340.

Pour plus d'information:

Plusieurs vulnérabilités à distance ont été découvertes dans la suite internet Iceape,une version en marque blanche de la suite internet Seamonkey. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :

CVE-2007-1095
Michal Zalewski a découvert que le gestionnaire de l'événement unload avait accès à l'adresse de la ressource suivante à charger. Cela peut permettre la divulgation d'information ou l'usurpation de site.
CVE-2007-2292
Stefano Di Paola a découvert qu'une validation insuffisante des noms d'utilisateurs utilisée dans l'authentification par résumé sur un site permettrait des attaques par découpages des réponses HTTP.
CVE-2007-3511
On a découvert qu'une gestion peu sûre de l'élément actif du contrôleur de téléchargement des fichiers pouvait conduire à divulguer des informations. il s'agit d'une variante de la vulnérabilité CVE-2006-2894.
CVE-2007-5334
Eli Friedman a découvert que des pages écrites en XUL pouvaient cacher la barre de titre des fenêtres. Cela peut conduire à des attaques par usurpation de site.
CVE-2007-5337
Georgi Guninski a découvert que la gestion peu sûre des schémas de ressources smb:// et sftp:// pouvait conduire à la divulgation d'informations. Cette vulnérabilité n'est exploitable que si la gestion de Gnome-VFS est présente sur le système.
CVE-2007-5338
moz_bug_r_a4 a découvert que le schéma de protection offert par XPCNativeWrappers pouvait être contourné. Cela pourrait permettre une augmentation des privilèges.
CVE-2007-5339
L. David Baron, Boris Zbarsky, Georgi Guninski, Paul Nickerson, Olli Pettay, Jesse Ruderman, Vladimir Sukhoy, Daniel Veditz, et Martijn Wargers ont découvert des plantages dans le moteur de rendu. Cela pourrait permettre l'exécution de code arbitraire.
CVE-2007-5340
Igor Bukanov, Eli Friedman, et Jesse Ruderman ont découvert des plantages dans le moteur de JavaScript. Cela pourrait permettre l'exécution de code arbitraire.

Les mises à jour de sécurité des produits Mozilla de l'ancienne distribution stable (Sarge) ne sont plus fournies.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.0.11~pre071022-0etch1.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 1.1.5-1.

Nous vous recommandons de mettre à jour vos paquets iceape.

Corrigé dans:

Debian GNU/Linux 4.0 (etch)

Source :: http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.11~pre071022-0etch1.dsc; http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.11~pre071022-0etch1.diff.gz; http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.11~pre071022.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/i/iceape/iceape-chatzilla_1.0.11~pre071022-0etch1_all.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dev_1.0.11~pre071022-0etch1_all.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape_1.0.11~pre071022-0etch1_all.deb; http://security.debian.org/pool/updates/main/i/iceape/mozilla-browser_1.8+1.0.11~pre071022-0etch1_all.deb; http://security.debian.org/pool/updates/main/i/iceape/mozilla-calendar_1.8+1.0.11~pre071022-0etch1_all.deb; http://security.debian.org/pool/updates/main/i/iceape/mozilla-chatzilla_1.8+1.0.11~pre071022-0etch1_all.deb; http://security.debian.org/pool/updates/main/i/iceape/mozilla-dev_1.8+1.0.11~pre071022-0etch1_all.deb; http://security.debian.org/pool/updates/main/i/iceape/mozilla-dom-inspector_1.8+1.0.11~pre071022-0etch1_all.deb; http://security.debian.org/pool/updates/main/i/iceape/mozilla-js-debugger_1.8+1.0.11~pre071022-0etch1_all.deb; http://security.debian.org/pool/updates/main/i/iceape/mozilla-mailnews_1.8+1.0.11~pre071022-0etch1_all.deb; http://security.debian.org/pool/updates/main/i/iceape/mozilla-psm_1.8+1.0.11~pre071022-0etch1_all.deb; http://security.debian.org/pool/updates/main/i/iceape/mozilla_1.8+1.0.11~pre071022-0etch1_all.deb
Alpha:: http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_alpha.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_alpha.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_alpha.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_alpha.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_alpha.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_amd64.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_amd64.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_amd64.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_amd64.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_amd64.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_arm.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_arm.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_arm.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_arm.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_arm.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_arm.deb
HPPA:: http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_hppa.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_hppa.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_hppa.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_hppa.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_hppa.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_i386.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_i386.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_i386.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_i386.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_i386.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_ia64.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_ia64.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_ia64.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_ia64.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_ia64.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_ia64.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_mips.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_mips.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_mips.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_mips.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_mips.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_mipsel.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_mipsel.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_mipsel.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_mipsel.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_mipsel.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_powerpc.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_powerpc.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_powerpc.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_powerpc.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_powerpc.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_s390.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_s390.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_s390.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_s390.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_s390.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/i/iceape/iceape-browser_1.0.11~pre071022-0etch1_sparc.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-calendar_1.0.11~pre071022-0etch1_sparc.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dbg_1.0.11~pre071022-0etch1_sparc.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-dom-inspector_1.0.11~pre071022-0etch1_sparc.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-gnome-support_1.0.11~pre071022-0etch1_sparc.deb; http://security.debian.org/pool/updates/main/i/iceape/iceape-mailnews_1.0.11~pre071022-0etch1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.