検出

Debian DSA-2569-1 : icedove - 複数の脆弱性

critical Nessus プラグイン ID 62748

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Mozilla Thunderbird メールクライアントの Debian バージョンである Icedove に、複数の脆弱性が発見されました。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています:

- CVE-2012-3982 ブラウザエンジンの複数の詳細不明な脆弱性によって、リモートの攻撃者が、サービス拒否(メモリ破損やアプリケーションのクラッシュ)を引き起こしたり、不明なベクターで任意のコードを実行できたりすることがあります。

- CVE-2012-3986 Icedove が DOMWindowUtils メソッドの呼び出しを適切に制限しないため、リモートの攻撃者が細工された JavaScript コードで本来守られるべきアクセス制限をバイパスできることがあります。

- CVE-2012-3990 IME State Manager の実装における Use-after-free 脆弱性によって、 nsIContent::GetNameSpaceID 関数に関連する、詳細不明なベクター経由で、リモートの攻撃者が任意のコードを実行できる可能性があります。

- CVE-2012-3991 Icedove が GetProperty 関数への JSAPI アクセスを適切に制限しないため、リモートの攻撃者が同一生成元ポリシーをバイパスしたり、細工された Web サイトを通じて詳細不明なその他の影響を与えたりするおそれがあります。

- CVE-2012-4179 nsHTMLCSSUtils::CreateCSSPropertyTxn 関数での use-after-free 脆弱性によって、リモートの攻撃者が任意のコードを実行したり、詳細不明なベクターでサービス拒否(ヒープメモリ破損)を引き起こしたりするおそれがあります。

- CVE-2012-4180 nsHTMLEditor::IsPrevCharInNodeWhitespace 関数でのヒープベースのバッファオーバーフローによって、リモートの攻撃者が詳細不明なベクターで任意のコードを実行するおそれがあります。

- CVE-2012-4182 nsTextEditRules::WillInsert 関数での use-after-free 脆弱性によって、リモートの攻撃者が任意のコードを実行したり、詳細不明なベクターでサービス拒否(ヒープメモリ破損)を引き起こしたりするおそれがあります。

- CVE-2012-4186 nsWav-eReader::DecodeAudioData 関数でのヒープベースのバッファオーバーフローによって、リモートの攻撃者が詳細不明なベクターで任意のコードを実行するおそれがあります。

- CVE-2012-4188 Convolve3x3 関数でのヒープベースのバッファオーバーフローによって、リモートの攻撃者が詳細不明なベクターで任意のコードを実行するおそれがあります。

ソリューション

icedove パッケージをアップグレードしてください。

安定版(stable)ディストリビューション(squeeze)では、これらの問題はバージョン 3.0.11-1+squeeze14 で修正されています。

参考資料

https://security-tracker.debian.org/tracker/CVE-2012-3982

https://security-tracker.debian.org/tracker/CVE-2012-3986

https://security-tracker.debian.org/tracker/CVE-2012-3990

https://security-tracker.debian.org/tracker/CVE-2012-3991

https://security-tracker.debian.org/tracker/CVE-2012-4179

https://security-tracker.debian.org/tracker/CVE-2012-4180

https://security-tracker.debian.org/tracker/CVE-2012-4182

https://security-tracker.debian.org/tracker/CVE-2012-4186

https://security-tracker.debian.org/tracker/CVE-2012-4188

https://packages.debian.org/source/squeeze/icedove

https://www.debian.org/security/2012/dsa-2569

プラグインの詳細

深刻度: Critical

ID: 62748

ファイル名: debian_DSA-2569.nasl

バージョン: 1.13

タイプ: local

エージェント: unix

公開日: 2012/10/30

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:icedove, cpe:/o:debian:debian_linux:6.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2012/10/29

参照情報

CVE: CVE-2012-3982, CVE-2012-3986, CVE-2012-3990, CVE-2012-3991, CVE-2012-4179, CVE-2012-4180, CVE-2012-4182, CVE-2012-4186, CVE-2012-4188

BID: 55922, 55924, 55930, 56121, 56123, 56126, 56129, 56131, 56135

DSA: 2569