Spring navigering over

• Om Debian
• Nyheder
• Få fat i Debian
• Support
• Udviklerhjørnet
• Sideoversigt
• Søg

Debians sikkerhedsbulletin

DSA-1396-1 iceweasel -- flere sårbarheder

Rapporteret den:

27. okt 2007

Berørte pakker:

iceweasel

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2007-1095, CVE-2007-2292, CVE-2007-3511, CVE-2007-5334, CVE-2007-5337, CVE-2007-5338, CVE-2007-5339, CVE-2007-5340.

Yderligere oplysninger:

Flere fjernudnytbare sårbarheder er opdaget i webbrowseren Iceweasel, en udgave af browseren Firefox. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:

• CVE-2007-1095

  Michal Zalewski opdagede at håndteringsrutinen til unload-events havde adgang til adressen på den næste side, der skal indlæses, hvilket kunne muliggøre informationsafsløring eller spoofing.

• CVE-2007-2292

  Stefano Di Paola opdagede at utilstrækkelig kontrol af brugernavne anvendt i Digest-autentificering på et webstid muliggjorde HTTP-svaropsplitningsangreb.

• CVE-2007-3511

  Man har opdaget at usikker fokushåndtering i filoplægningskontrollen kunne føre til informationsafsløring. Dette er en variant af CVE-2006-2894.

• CVE-2007-5334

  Eli Friedman opdagede at websider skrivet i Xul-markup kunne skjule vinduers titellinje, hvilket kunne føre til spoofing-angreb.

• CVE-2007-5337

  Georgi Guninski opdagede at usikker håndtering af smb://- og sftp://-URI'er kunne føre til informationsafsløring. Denne sårbarhed er kun udnytbar hvis understøttelse af Gnome-VFS er til stede på systemet.

• CVE-2007-5338

  moz_bug_r_a4 opdagede at beskyttelsesmetoden der stilles til rådighed af XPCNativeWrappers kunne omgås, hvilket kunne muliggøre rettighedsforøgelse.

• CVE-2007-5339

  L. David Baron, Boris Zbarsky, Georgi Guninski, Paul Nickerson, Olli Pettay, Jesse Ruderman, Vladimir Sukhoy, Daniel Veditz og Martijn Wargers opdagede nedbrud i layout-maskinen, hvilket kunne gøre det muligt at udføre vilkårlig kode.

• CVE-2007-5340

  Igor Bukanov, Eli Friedman og Jesse Ruderman opdagede nedbrud i JavaScript-maskinen, hvilket måske kunne gøre det muligt at udføre vilkårlig kode. Generelt anbefales det ikke at aktivere JavaScript i Icedove.

Mozilla-produkterne i den gamle stabile distribution (sarge) er ikke længere understøttet med sikkerhedsopdateringer.

I den stabile distribution (etch) er disse problemer rettet i version 2.0.0.6+2.0.0.8-0etch1. Opbygninger til arm og sparc vil senere blive stillet til rådighed.

I den ustabile distribution (sid) er disse problemer rettet i version 2.0.0.8-1.

Vi anbefaler at du opgraderer dine iceweasel-pakker.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.6+2.0.0.8-0etch1.dsc

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.6+2.0.0.8-0etch1.diff.gz

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.6+2.0.0.8.orig.tar.gz

Arkitekturuafhængig komponent:

http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.6+2.0.0.8-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.6+2.0.0.8-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/firefox_2.0.0.6+2.0.0.8-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.6+2.0.0.8-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-dom-inspector_2.0.0.6+2.0.0.8-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-gnome-support_2.0.0.6+2.0.0.8-0etch1_all.deb

http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox_2.0.0.6+2.0.0.8-0etch1_all.deb

Alpha:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.6+2.0.0.8-0etch1_alpha.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.6+2.0.0.8-0etch1_alpha.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.6+2.0.0.8-0etch1_alpha.deb

AMD64:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.6+2.0.0.8-0etch1_amd64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.6+2.0.0.8-0etch1_amd64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.6+2.0.0.8-0etch1_amd64.deb

ARM:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.6-0etch1_arm.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.6-0etch1_arm.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.6-0etch1_arm.deb

HPPA:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.6+2.0.0.8-0etch1_hppa.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.6+2.0.0.8-0etch1_hppa.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.6+2.0.0.8-0etch1_hppa.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.6+2.0.0.8-0etch1_i386.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.6+2.0.0.8-0etch1_i386.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.6+2.0.0.8-0etch1_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.6+2.0.0.8-0etch1_ia64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.6+2.0.0.8-0etch1_ia64.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.6+2.0.0.8-0etch1_ia64.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.6+2.0.0.8-0etch1_mips.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.6+2.0.0.8-0etch1_mips.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.6+2.0.0.8-0etch1_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.6+2.0.0.8-0etch1_mipsel.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.6+2.0.0.8-0etch1_mipsel.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.6+2.0.0.8-0etch1_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.6+2.0.0.8-0etch1_powerpc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.6+2.0.0.8-0etch1_powerpc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.6+2.0.0.8-0etch1_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.6+2.0.0.8-0etch1_s390.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.6+2.0.0.8-0etch1_s390.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.6+2.0.0.8-0etch1_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.6-0etch1_sparc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.6-0etch1_sparc.deb

http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.6-0etch1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.

Denne side findes også på følgende sprog:

Deutsch English français 日本語 (Nihongo) svenska

Sådan opsætter du standardsprogvalg for dokumenter