Log in Page Discussion History Go to the site toolbox

050808/DSA-1621

From BluWiki

DSA-1621 icedove -- Múltiples vulnerabilidades

Fecha de reporte: 27 Jul 2008

Paquetes afectados: icedove

Más información: Múltiples vulnerabilidades han sido descubiertas en el cliente de correos de Icedove, una versión más libre del cliente Thunderbird. El proyecto The Common Vulnerabilities and Exposures identifica los siguientes problemas:

  • CVE-2008-0304: Fue descubierto que un desbordamiento de buffer en la decodificación MIME puede implicar la ejecución de código arbitrario.
  • CVE-2008-2785: Fue descubierto que la falta de una verificación de limites en un contador de referencia para objetos CSS puede implicar la ejecución de código arbitrario.
  • CVE-2008-2798: Devon Hubbard, Jesse Ruderman y Martijn Wargers descubrieron bloqueos en el motor de diseño pueden permitir la ejecución de código arbitrario.
  • CVE-2008-2799: Igor Bukanov, Jesse Ruderman y Gary Kwong descubrió que bloqueos en el motor Javascript que pueden permitir la ejecución de código arbitrario.
  • CVE-2008-2802: "moz_bug_r_a4" descubrió que documentos XUL pueden escalar privilegios accesando al archivo precompilado "fastload".
  • CVE-2008-2803: "moz_bug_r_a4" descubrió que la falta de saneo de entrada en la función mozIJSSubScriptLoader.loadSubScript() puede implicar la ejecución de código arbitrario. Icedove por si mismo no es afectado, pero algunos complementos si.
  • CVE-2008-2807: Daniel Glazman descubrió que un error de programación en el código para el análisis de archivos .properties puede implicar que el contenido de la memoria sea expuesto a complementos, lo que puede implicar la divulgación de información.
  • CVE-2008-2809: John G. Myers, Frank Benkstein y Nils Toedtmann descubrió que el intercambio de nombre en certificados auto-firmados era insuficiente verificación, lo que puede implicar la validación de conexiones seguras a sitios falsificados.
  • CVE-2008-2811: Greg McManus descubrió un bloqueo en el bloque recarga del código, que puede permitir la ejecución de código arbitrario.

Para la distribución estable (etch), estos problemas han sido arreglados en la versión 1.5.0.13+1.5.0.15b.dfsg1+prepatch080614d-0etch1. Los paquetes para s390 no están disponibles aún y serán distribuidos luego.

Para la versión inestable (sid), estos problemas han sido arreglados en la versión 2.0.0.16-1.

Le recomendamos actualizar su paquete icedove.

Original (en inglés): http://lists.debian.org/debian-security-announce/2008/msg00206.html

Site Toolbox:

Personal tools
GNU Free Documentation License 1.2
This page was last modified on 31 July 2008, at 16:34.
Disclaimers - About BluWiki