Debian DSA-2187-1：icedove - 複数の脆弱性

critical Nessus プラグイン ID 52619

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

複数の脆弱性が、Thunderbird メール/ニュースクライアントのノンブランドバージョンである Icedove で発見されています。

- CVE-2010-1585 Roberto Suggi Liverani 氏は、ParanoidFragmentSink によって実行されるサニタイジングが未完了となっていることを発見しました。

- CVE-2011-0051 Zach Hoffmann 氏は、recursive eval() 呼び出しの不適切な解析により、攻撃者が確認ダイアログで強制的な承認を取る可能性があることを発見しました。

- CVE-2011-0053 レイアウトエンジンでのクラッシュにより、任意のコードが実行されることがあります。

- CVE-2011-0054、CVE-2010-0056 Christian Holler 氏は、任意のコードの実行を引き起こす可能性がある、JavaScript エンジンのバッファオーバーフローを発見しました。

- CVE-2011-0055 「regenrecht」および Igor Bukanov 氏は、任意のコードの実行を引き起こす可能性がある、JSON のインプリメンテーションにおける use-after-free エラーを発見しました。

- CVE-2011-0057 Daniel Kozlowski 氏は、Web Workers のインプリメンテーションを処理する不適切なメモリが、任意のコードの実行を引き起こす可能性があることを発見しました。

- CVE-2011-0059 Peleus Uhley 氏は、プラグインコードにおいてクロスサイトリクエスト偽造のリスクを発見しました。

旧安定版（oldstable）Lenny のリリースノートで示されているように、通常の Lenny セキュリティメンテナンスライフサイクル終了前に、旧安定版（oldstable）の Icedove パッケージのセキュリティサポートは中止する必要があります。安定版（stable）へのアップグレード、もしくは別のメールクライアントへの切り替えを強く推奨します。