Debian DSA-2720-1 : icedove - 複数の脆弱性

critical Nessus プラグイン ID 67201

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

複数のセキュリティの課題が Mozilla Thunderbird のメールとニュースのクライアントのうち icedove、Debian のバージョンで見つかっています。複数のメモリ安全性に関するエラー、use-after-free の脆弱性、権限チェックの欠如、不適切なメモリ処理、および他の実装エラーにより、任意のコードの実行、権限昇格、情報漏洩、クロスサイトリクエスト偽造が引き起こされる可能性があります。

Iceweasel に対してすでに発表済み：当社は、安定したセキュリティの Icedove 用のセキュリティ更新に向けた取り組みを変更しています。セキュリティ修正をバックポートする代わりに、Extended Support Release ブランチをベースとするリリースを現在提供しています。そのため、この更新では、Thunderbird 17 をベースとするパッケージを導入しており、今後のある時点で ESR 17 がサポート終了に達すると、次の ESR に切り替わります。

Debian アーカイブに現在パッケージされている一部の Icedove 拡張機能は、新しいブラウザエンジンと互換性がありません。最新版と互換性のあるバージョンを、短期的ソリューションとして http://addons.mozilla.org から入手できます。

Enigmail の互換性のある更新バージョンが、この更新に含まれています。

旧安定版（oldstable）ディストリビューション（squeeze）の icedove バージョンはセキュリテイアップデートでサポートされなくなりました。しかし、icedove にあるセキュリティの課題のほとんどすべてが、含まれているブラウザエンジンに由来するものであることに注意する必要があります。これらのセキュリティの問題は、スクリプティングと HTML メールが有効化されている場合のみ、icedove に影響を与えます。icedove 特有のセキュリティの課題がある場合（例えば IMAP 実装の仮想バッファオーバーフロー）、弊社は oldstable に対するそのような修正をバックポートするよう努力します。