DSA-2297-1 icedove -- diversas vulnerabilidades

Fecha del reporte: 21 de ago 2011

Paquetes afectados: icedove

Más información: Múltiples vulnerabilidades han sido descubiertas en Icedove, una versión sin marca del cliente de correo y noticias Thunderbird.

  • CVE-2011-0084: "regenrecht" descubrió que el incorrecto manejo de puntero en el código de procesamiento SVG, podría conducir a la ejecución de código arbitrario.

  • CVE-2011-2378: "regenrecht" descubrió que la incorrecta administracion de memoria en el procesamiento DOM, podría llevar a la ejecución de código arbitrario.

  • CVE-2011-2981: "moz_bug_r_a_4" descubrió una vulnerabilidad de escalada de privilegios en Chrome, concretamente en el código de manejo de eventos.

  • CVE-2011-2982: Gary Kwong, Igor Bukanov, Nils y Bob Clary descubrierón errores de corrupción de memoria, lo que puede conducir a la ejecución de código arbitrario.

  • CVE-2011-2983: "shutdown" descubrió una fuga de información en el manejo de RegExp.input.

  • CVE-2011-2984: "moz_bug_r_a4" descubibrió una vulnerabilidad de escalada de privilegios en Chrome.

Como se indica en las notas de versión Lenny (antigua estable), el soporte de seguridad para los paquetes de Icedove en la antigua estable, necesitan que se detengan antes del final del ciclo normal de vida del mantenimiento de seguridad Lenny. Se le recomienda, encarecidamente, actualizar a estable o cambiar a un cliente de correo diferente.

Para la distribución estable (squeeze), estos problemas han sido corregidos en la versión 3.0.11-1+squeeze4.

Para la distribución inestable (sid), este problema ha sido corregido en la versión 3.1.12-1.

Le recomendamos que actualice el paquete Icedove .

Original (en inglés): http://www.debian.org/security/2011/dsa-2297