Mehrere entfernt ausnutzbare Verwundbarkeiten wurden im
Icedove-E-Mail-Client entdeckt, einer wegen Markenproblemen
umbenannten Version des Thunderbird-Clients. Das Common
Vulnerabilities and Exposures
-Projekt identifiziert die folgenden
Probleme:
Gatan Leurent entdeckte eine kryptografische Schwäche in der APOP-Authentifizierung, die die nötigen Anstrengungen für einen MITM-Angriff, um ein Passwort abzufangen, reduziert. Die Aktualisierung erzwingt eine strengere Überprüfung, was diesen Angriff verhindert.
Boris Zbarsky, Eli Friedman, Georgi Guninski, Jesse Ruderman, Martijn Wargers und Olli Pettay entdeckten Abstürze in der Layout-Engine, die die Ausführung beliebigen Codes ermöglichen könnten.
Brendan Eich, Igor Bukanov, Jesse Ruderman, moz_bug_r_a4
und Wladimir Palant
entdeckten Abstürze in der Javascript-Engine, die die Ausführung beliebigen
Codes ermöglichen könnten. Im Allgemeinen wird die Aktivierung von
Javascript in Icedove nicht empfohlen.
Korrekturen für die alte Stable-Distribution (Sarge) sind nicht verfügbar. Obwohl es eine weitere Runde von Sicherheitsaktualisierungen für Mozilla-Produkte geben wird, hat Debian nicht die Ressourcen, weitere Sicherheitskorrekturen auf die alten Mozilla-Produkte zurückzuportieren. Es wird dringendst empfohlen, so schnell wie möglich auf Stable zu aktualisieren.
Für die Stable-Distribution (Etch) wurden diese Probleme in Version 1.5.0.12.dfsg1-0etch1 behoben.
Für die Unstable-Distribution (Sid) werden diese Probleme bald behoben sein.
Wir empfehlen Ihnen, Ihre icedove-Pakete zu aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.