Tri nedostatka paketa iceape

U programskom paketu iceape otkrivena su tri sigurnosna nedostatka koja se mogu iskoristiti za povećanje ovlasti napadača, umetanje proizvoljnog HTML i skriptnog koda, te izvođenje DoS napada.

Paket:	iceape 2.x
Operacijski sustavi:	Debian Linux 5.0 (lenny), Debian Linux 6.0 (squeeze)
Kritičnost:	8.1
Problem:	korupcija memorije, pogreška u programskoj komponenti, XSS
Iskorištavanje:	udaljeno
Posljedica:	dobivanje većih privilegija, umetanje HTML i skriptnog koda, uskraćivanje usluga (DoS)
Rješenje:	programska zakrpa proizvođača
CVE:	CVE-2011-3647, CVE-2011-3648, CVE-2011-3650
Izvorni ID preporuke:	DSA-2342-1
Izvor:	Debian

Problem:
Nedostaci se očituju u komponenti JSSubScriptLoader te pri obradi Shift-JIS kodiranog teksta i JavaScript datoteka.
Posljedica:
Udaljeni napadač može iskoristiti nedostatke kako bi povećao privilegije, umetnuo proizvoljni HTML i skriptni kod te izveo DoS napad.
Rješenje:
Svim korisnicima se savjetuje korištenje odgovarajuće nadogradnje.

Izvorni tekst preporuke

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
Debian Security Advisory DSA-2342-1                   Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
http://www.debian.org/security/                        Moritz Muehlenhoff
November 09, 2011                      http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package        : iceape
Vulnerability  : several
Problem type   : remote
Debian-specific: no
CVE ID         : CVE-2011-3647 CVE-2011-3648 CVE-2011-3650

Several vulnerabilities have been found in the Iceape internet suite, an
unbranded version of Seamonkey:

CVE-2011-3647

   "moz_bug_r_a4" discovered a privilege escalation vulnerability in
   addon handling.

CVE-2011-3648

   Yosuke Hasegawa discovered that incorrect handling of Shift-JIS
   encodings could lead to cross-site scripting.

CVE-2011-3650

   Marc Schoenefeld discovered that profiling the Javascript code
   could lead to memory corruption.

The oldstable distribution (lenny) is not affected. The iceape package only
provides the XPCOM code.

For the stable distribution (squeeze), this problem has been fixed in
version 2.0.11-9.

For the unstable distribution (sid), this problem has been fixed in
version 2.0.14-9.

We recommend that you upgrade your iceape packages.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/

Mailing list: Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)

iEYEARECAAYFAk66tBAACgkQXm3vHE4uylq1UwCgiDFB6+fSacdq2NSfFdRlxPmL
LRAAnRSQRBdqlERh/5aQLQOj+tTpEdSX
=kBkz
-----END PGP SIGNATURE-----


--
To UNSUBSCRIBE, email to Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
with a subject of "unsubscribe". Trouble? Contact Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
Archive: http://lists.debian.org/Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.

Tri nedostatka paketa iceape

Tražilica portala

Aktivnosti

O CIS-u

Posljednje vijesti

Posljednji dokumenti

Tri nedostatka paketa iceape

Tražilica portala

Aktivnosti

O CIS-u

Posljednje sigurnosne preporuke

Posljednje vijesti

Popularni članci

Posljednji dokumenti