Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-1607-1 iceweasel -- Mehrere Verwundbarkeiten

Datum des Berichts:

11. Jul 2008

Betroffene Pakete:

iceweasel

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2008-2798, CVE-2008-2799, CVE-2008-2800, CVE-2008-2801, CVE-2008-2802, CVE-2008-2803, CVE-2008-2805, CVE-2008-2807, CVE-2008-2808, CVE-2008-2809, CVE-2008-2811.

Weitere Informationen:

Mehrere entfernt ausnutzbare Verwundbarkeiten wurden im Iceweasel-Webbrowser entdeckt, einer wegen Markenproblemen umbenannten Version des Firefox-Browsers. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme:

• CVE-2008-2798

  Devon Hubbard, Jesse Ruderman und Martijn Wargers entdeckten Abstürze in der Layout-Engine, was die Ausführung beliebigen Codes ermöglichen könnte.

• CVE-2008-2799

  Igor Bukanov, Jesse Ruderman und Gary Kwong entdeckten Abstürze in der Javascript-Engine, was die Ausführung beliebigen Codes ermöglichen könnte.

• CVE-2008-2800

  moz_bug_r_a4 entdeckte mehrere Site-übergreifende Skripting-Verwundbarkeiten.

• CVE-2008-2801

  Collin Jackson und Adam Barth entdeckten, dass Javascript-Code im Kontext signierter JAR-Archive ausgeführt werden kann.

• CVE-2008-2802

  moz_bug_r_a4 entdeckte, dass XUL-Dokumente Privilegien ausweiten können, indem auf die vorkompilierte fastload-Datei zugegriffen wird.

• CVE-2008-2803

  moz_bug_r_a4 entdeckte, dass eine fehlende Eingabebereinigung in der Funktion mozIJSSubScriptLoader.loadSubScript() zur Ausführung beliebigen Codes führen kann. Iceweasel selber ist nicht betroffen, aber einige Zusätze (Addons) sind es.

• CVE-2008-2805

  Claudio Santambrogio entdeckte, dass eine fehlende Zugangsüberprüfung beim Parsen des DOMs bösartigen Websites ermöglicht, den Browser zu zwingen, lokale Dateien auf den Server hochzuladen, was zu einer Informationsenthüllung führen kann.

• CVE-2008-2807

  Daniel Glazman entdeckte, dass ein Programmierfehler im Code zum Einlesen der .properties-Dateien dazu führen kann, dass Speicherinhalt an Addons weitergereicht wird, was zu einer Informationsenthüllung führen kann.

• CVE-2008-2808

  Masahiro Yamada entdeckte, dass Datei-URLs in Verzeichnislisten unzureichend geschützt wurden.

• CVE-2008-2809

  John G. Myers, Frank Benkstein und Nils Toedtmann entdeckten, dass alternative Namen in selbstsignierten Zertifikaten unzureichend behandelt wurden, was zum Spoofen sicherer Verbindungen führen kann.

• CVE-2008-2811

  Greg McManus entdeckte einen Absturz im Blockrückfluss-Code, was zur Ausführung beliebigen Codes führen kann.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 2.0.0.15-0etch1 behoben.

Iceweasel aus der Unstable-Distribution (Sid) linkt dynamisch gegen die Bibliothek xulrunner.

Wir empfehlen Ihnen, Ihr iceweasel-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (etch)

Quellcode:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15.orig.tar.gz

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1.dsc

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1.diff.gz

Architektur-unabhängige Dateien:

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox_2.0.0.15-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.15-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/firefox_2.0.0.15-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-dom-inspector_2.0.0.15-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-gnome-support_2.0.0.15-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.15-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.15-0etch1_all.deb

AMD64:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_amd64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_amd64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_amd64.deb

HP Precision:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_hppa.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_hppa.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_hppa.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_i386.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_i386.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_ia64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_ia64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_ia64.deb

Big-endian MIPS:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_mips.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_mips.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_mips.deb

Little-endian MIPS:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_mipsel.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_mipsel.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_powerpc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_powerpc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_s390.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_s390.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.15-0etch1_sparc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.15-0etch1_sparc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.15-0etch1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English français 日本語 (Nihongo) svenska

Wie stellt man die Standardsprache ein