Debian DSA-2313-1：iceweasel - いくつかの脆弱性

critical Nessus プラグイン ID 56340

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

複数の脆弱性が、FireFox ベースの Web ブラウザである Iceweasel で、見つかりました。

- CVE-2011-2372 Mariusz Mlynski氏は、ユーザーがENTERキーを押している間、「open」がデフォルトアクションであるダウンロードダイアログをWebサイトが開く可能性があることを発見しました。

- CVE-2011-2995 Benjamin Smedberg 氏、Bob Clary 氏、および Jesse Ruderman 氏は、任意のコードの実行を引き起こす可能性のあるレンダリングエンジンのクラッシュを発見しました。

- CVE-2011-2998 Mark Kaplan 氏は、任意のコードの実行を引き起こす可能性のある JavaScript エンジンの整数アンダーフローを発見しました。

- CVE-2011-2999 Boris Zbarsky 氏は、window.location オブジェクトの不適切な処理が同一生成元ポリシーのバイパスを引き起こす可能性があることを発見しました。

- CVE-2011-3000 Ian Graham 氏は、複数の Location ヘッダーにより CRLF インジェクションが発生する可能性があることを発見しました。

ソリューション

iceweasel パッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（lenny）の場合、この問題は、 xulrunner ソースパッケージのバージョン 1.9.0.19-14 で修正されています。この更新ではまた、欠陥がある DigiNotar の root 証明書が、信頼できないものではなく、破棄されたものとしてマークされます。

安定版（stable）ディストリビューション(squeeze)の場合、この問題はバージョン 3.5.16-10 で修正済みです。この更新ではまた、欠陥がある DigiNotar の root 証明書が、信頼できないものではなく、破棄されたものとしてマークされます。