Debians sikkerhedsbulletin

DSA-1338-1 iceweasel -- flere sårbarheder

Rapporteret den:
23. jul 2007
Berørte pakker:
iceweasel
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2007-3089, CVE-2007-3656, CVE-2007-3734, CVE-2007-3735, CVE-2007-3736, CVE-2007-3737, CVE-2007-3738.
Yderligere oplysninger:

Flere fjernudnytbare sårbarheder er opdaget i webbrowseren Iceweasel, en version af browseren Firefox. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:

  • CVE-2007-3089

    Ronen Zilberman og Michal Zalewski opdagede at et timing race gjorde det muligt at indsprøjte indhold i about:blank-frames.

  • CVE-2007-3656

    Michal Zalewski opdagede at same-origin-regler for wyciwyg://-dokumenter blev håndhævet på utilstrækkelig vis.

  • CVE-2007-3734

    Bernd Mielke, Boris Zbarsky, David Baron, Daniel Veditz, Jesse Ruderman, Lukas Loehrer, Martijn Wargers, Mats Palmgren, Olli Pettay, Paul Nickerson og Vladimir Sukhoy opdagede nedbrud i layout-maskinen, hvilket kunne føre til udførelse af vilkårlig kode.

  • CVE-2007-3735

    Asaf Romano, Jesse Ruderman og Igor Bukanov opdagede nedbrud i JavaScript-maskinen, hvilket kunne muliggøre udførelse af vilkårlig kode.

  • CVE-2007-3736

    moz_bug_r_a4 opdagede at funktionerne addEventListener() og setTimeout() tillod udførelse af skripter på tværs af websteder.

  • CVE-2007-3737

    moz_bug_r_a4 opdagede at en programmeringsfejl i event-håndteringen tillod rettighedsforøgelse.

  • CVE-2007-3738

    shutdown og moz_bug_r_a4 opdagede at XPCNativeWrapper tillod udførelse af vilkårlig kode.

Mozilla-produkterne i den gamle stabile distribution (sarge) er ikke længere understøttet med sikkerhedsopdateringer. Du opfordres kraftigt til at opgradere til den stabile distribution så hurtigt som muligt.

I den stabile distribution (etch) er disse problemer rettet i version 2.0.0.5-0etch1. Opbygninger til alpha og mips er endnu ikke tilgængelige, de vil senere blive stillet til rådighed.

I den ustabile distribution (sid) er disse problemer rettet i version 2.0.0.5-1.

Vi anbefaler at du opgraderer dine iceweasel-pakker.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.5-0etch1.dsc
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.5-0etch1.diff.gz
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.5.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/i/iceweasel/firefox-dom-inspector_2.0.0.5-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/firefox-gnome-support_2.0.0.5-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/firefox_2.0.0.5-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dom-inspector_2.0.0.5-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-dom-inspector_2.0.0.5-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox-gnome-support_2.0.0.5-0etch1_all.deb
http://security.debian.org/pool/updates/main/i/iceweasel/mozilla-firefox_2.0.0.5-0etch1_all.deb
AMD64:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.5-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.5-0etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.5-0etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.5-0etch1_arm.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.5-0etch1_arm.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.5-0etch1_arm.deb
HPPA:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.5-0etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.5-0etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.5-0etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.5-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.5-0etch1_i386.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.5-0etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.5-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.5-0etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.5-0etch1_ia64.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.5-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.5-0etch1_mipsel.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.5-0etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.5-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.5-0etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.5-0etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.5-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.5-0etch1_s390.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.5-0etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel_2.0.0.5-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-dbg_2.0.0.5-0etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/iceweasel/iceweasel-gnome-support_2.0.0.5-0etch1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.