Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2464-2 icedove

Bulletin d'alerte Debian

DSA-2464-2 icedove -- Plusieurs vulnérabilités

Date du rapport :

8 mai 2012

Paquets concernés :

icedove

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 671408, Bogue 671410.
Dans le dictionnaire CVE du Mitre : CVE-2012-0467, CVE-2012-0470, CVE-2012-0471, CVE-2012-0477, CVE-2012-0479.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Icedove, une version sans marque du client de courrier électronique et lecteur de nouvelles Thunderbird.

• CVE-2012-0467

  Bob Clary, Christian Holler, Brian Hackett, Bobby Holley, Gary Kwong, Hilary Hall, Honza Bambas, Jesse Ruderman, Julian Seward et Olli Pettay ont découvert des bogues de corruption de mémoire qui pourraient conduire à l'exécution de code arbitraire.

• CVE-2012-0470

  Atte Kettunen a découvert qu'un bogue de corruption de mémoire dans gfxImageSurface pourrait conduire à l'exécution de code arbitraire.

• CVE-2012-0471

  Anne van Kesteren a découvert qu'un encodage incorrect de caractère multioctet pourrait conduire à un script intersite.

• CVE-2012-0477

  Masato Kinugawa a découvert que l'encodage de caractères coréens et chinois pourrait conduire à un script intersite.

• CVE-2012-0479

  Jeroen van der Gun a découvert une vulnérabilité d'usurpation dans la présentation des flux Atom et RSS par HTTPS.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.0.11-1+squeeze10.

Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets icedove.