[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:52640] [Translate] [SECURITY] [DSA 1830-1] New icedove packages fix several vulnerabilities



かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1830-1                  security@debian.org
http://www.debian.org/security/                      Steffen Joeris
July 12, 2009                         http://www.debian.org/security/faq
- ------------------------------------------------------------------------

Package        : icedove


Vulnerability  : 複数の欠陥

Problem type   : リモート


Debian-specific: いいえ


CVE IDs        : CVE-2009-0040 CVE-2009-0352 CVE-2009-0353 CVE-2009-0652


CVE-2009-0771 CVE-2009-0772 CVE-2009-0773 CVE-2009-0774 CVE-2009-0776


CVE-2009-1302 CVE-2009-1303 CVE-2009-1307 CVE-2009-1832 CVE-2009-1392


CVE-2009-1836 CVE-2009-1838 CVE-2009-1841



Thunderbird クライアントの商標非使用版 Icedove メールクライアントに、
リモートから攻撃可能な複数の問題が発見されました。The Common
Vulnerabilities and Exposures project は以下の問題を認識しています。

CVE-2009-0040

    細工された PNG ファイルにより未初期化ポインタの解放が (1)
    png_read_png 関数、(2) pCAL チャンク処理、(3) 16-bit ガンマテーブ
    ルの初期化でおのおの発生するため、任意コードを実行できる可能性があ
    ります (MFSA 2009-10)。

CVE-2009-0352

    レイアウトエンジンに関連した攻撃により、任意のコードを実行可能です
    (MFSA 2009-01) 。

CVE-2009-0353

    JavaScript エンジンに関連した攻撃により、任意のコードを実行可能です
    (MFSA 2009-01) 。

CVE-2009-0652

    Bjoern Hoehrmann さんと、Moxie Marlinspike さんにより、国際化ドメ
    イン名中の Unicode の矩形描画文字がフィッシング攻撃に使えることが
    発見されました (MFSA 2009-15)。

CVE-2009-0771

    Martijn Wargers さん, Jesse Ruderman さん、および Josh Soref さんに
    より、任意のコードの実行の可能性のあるレイアウトエンジンのクラッシ
    ュが発見されました (MFSA 2009-07)。


CVE-2009-0772

    Jesse Ruderman さんにより、nsCSSStyleSheet::GetOwnerNode、イベント、
    ガベージコレクションに関連した任意のコードの実行の可能性のあるレイ
    アウトエンジンのクラッシュが発見されました (MFSA 2009-07)。

CVE-2009-0773

    任意のコードの実行の可能性のある Javascript エンジンのクラッシュが
    発見されました (MFSA 2009-07)。

CVE-2009-0774

    gczeal に関連した任意のコードの実行の可能性のある Javascript エン
    ジンのクラッシュが発見されました (MFSA 2009-07)。

CVE-2009-0776

    Georgi Guninski さんにより、nsIRDFService に関連した問題により
    xml データを採取可能であることが発見されました (MFSA 2009-09)。

CVE-2009-1302

    ブラウザエンジンに複数の攻撃手法を持つメモリ破壊を許す欠陥が発見さ
    れました (MFSA 2009-14) 。

CVE-2009-1303

    nsSVGElement::BindToTree 関数にメモリ破壊を許す欠陥が発見されまし
    た (MFSA 2009-14) 。

CVE-2009-1307

    Gregory Fleischer さんにより、Flash ファイルの同一オリジン原則が
    view-source スキームでロードされたファイルに対して正しく適用され
    ていないため、ドメイン間の制限のポリシーを迂回可能であることが発
    見されました (MFSA 2009-17) 。

CVE-2009-1832

    "double frame construction" を含む攻撃手法により、任意のコードが
    実行可能です (MFSA 2009-24)。

CVE-2009-1392

    icedove のブラウザエンジンに複数の問題があり、任意のコードの実行
    が可能であることが発見されました (MFSA 2009-24)。

CVE-2009-1836

    Shuo Chen, Ziqing Mao, Yi-Min Wang および Ming Zhang の各氏によ
    り、特定のプロキシ応答のチェックが不十分なため、中間者攻撃の可能
    性があることが報告されました (MFSA 2009-27)。

CVE-2009-1838

    moz_bug_r_a4 さんにより、ガベージコレクタの実装ミスにより、任意
    の Javascript が Chrome 権限で実行可能であることが発見されまし
    た (MFSA 2009-29)。

CVE-2009-1841

    moz_bug_r_a4 さんにより、ページ内容のスクリプトが昇格された特権
    で走らせることが可能なため、オブジェクトの chrome 特権で任意の
    コードの実行ができることが報告されました (MFSA 2009-32)。

CVE 番号未

    Bernd Jendrissek さんにより、text/enhanced パートを持つ multipart/
    alternative メールメッセージを表示する際の、攻撃の可能性のあるク
    ラッシュが発見されました (MFSA 2009-33)。


安定版 (stable) ディストリビューション (lenny) では、これらの問題はバ
ージョン 2.0.0.22-0lenny1 で修正されています。

Etch リリースノートに記載されているとおり、旧安定版ディストリビューション
での Mozilla プロダクトのセキュリティサポートは通常の etch セキュリティサ
ポートライフサイクルより前に停止せざるを得ませんでした。安定版に更新する
か、サポートされているメールクライアントへの乗り換えを強く推奨します。

テスト版ディストリビューション (squeeze) では、これらの問題は近く修正予定
です。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー
ジョン 2.0.0.22-1 で修正されています。

直ぐに icedove パッケージをアップグレードすることを勧めます。



アップグレード手順
------------------

wget url
        	でファイルを取得できます。
dpkg -i file.deb
                で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 5.0 alias lenny
- --------------------------------

Debian (stable)
- ---------------

安定版の更新は、alpha, amd64, arm, hppa, i386, ia64, m68k, mips, mipsel,
powerpc, s390 および sparc の各アーキテクチャで提供されています。
 .
ソースアーカイブ:

  http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1.dsc
    Size/MD5 checksum:     1667 e373157340de8a93d36e6210afe2f345
  http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1.diff.gz
    Size/MD5 checksum:   118782 0f1d8098818180a72820438adfa79436
  http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22.orig.tar.gz
    Size/MD5 checksum: 36965969 8e0ffafaece0680a42c0cb11ff34c64a

alpha architecture (DEC Alpha)


http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_alpha.deb
    Size/MD5 checksum: 13441166 eb9f665e0e18b36daf2542288567bc0e

http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_alpha.deb
    Size/MD5 checksum: 57359422 0e1af2a3bfd6d7f1d66840a9d9bbdc3c

http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_alpha.deb
    Size/MD5 checksum:    60844 e782984c2808227c747a7930c70455d5

http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_alpha.deb
    Size/MD5 checksum:  3723116 f35a203a81b097f19d67a454df6eae3f

amd64 architecture (AMD x86_64 (AMD64))


http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_amd64.deb
    Size/MD5 checksum: 57569412 b76a17f1fd3c76328802ffe5b5210d29

http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_amd64.deb
    Size/MD5 checksum: 12338088 bae6d2708c11bcb1fd169005ff561b14

http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_amd64.deb
    Size/MD5 checksum:    58854 28bef0b2e39a58e5a53fcabce5d02444

http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_amd64.deb
    Size/MD5 checksum:  3704724 bb42d33cac6a532dcfd348f2909a7a1f

arm architecture (ARM)

  http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_arm.deb
    Size/MD5 checksum: 10924558 a6377d02484cdf7c832ea949e17b0b5b

http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_arm.deb
    Size/MD5 checksum: 56478312 4a80f7a148b3c95a6e70e493972d4689

http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_arm.deb
    Size/MD5 checksum:    53392 d7c8ba83bd82e3e37902881056d5cc19

http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_arm.deb
    Size/MD5 checksum:  3929498 9c800bff03993a158efc6b686d1808eb

hppa architecture (HP PA RISC)


http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_hppa.deb
    Size/MD5 checksum: 13934564 5f5d936cead750583036c15e4f12ee84

http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_hppa.deb
    Size/MD5 checksum: 58508036 47a7976a3e62a96b0a30ba308828ceca

http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_hppa.deb
    Size/MD5 checksum:    60260 43957fc0f5fd4164b68dc569553fcd0d

http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_hppa.deb
    Size/MD5 checksum:  3944546 4e30f36cd2bbbcdd74213392116ddad5

i386 architecture (Intel ia32)


http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_i386.deb
    Size/MD5 checksum:  3934604 336b57d8a95a52cffc2c07b5ed605c74

http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_i386.deb
    Size/MD5 checksum: 10924508 b4cf9766cac84f9d21defc2ea4e1d1bc

http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_i386.deb
    Size/MD5 checksum:    54082 86ac55697cfc6abc6a719be26c5fcb48

http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_i386.deb
    Size/MD5 checksum: 56523330 8f925c6cea9ec7e628e05a8079dd30ad

ia64 architecture (Intel ia64)


http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_ia64.deb
    Size/MD5 checksum: 16521158 4271ac14c8b4bc91d606cc2848d32a59

http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_ia64.deb
    Size/MD5 checksum:    66018 4659cf77ec8dc16df43dc17f9fafd30b

http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_ia64.deb
    Size/MD5 checksum:  3756644 ffe54230f44502f546db8cabf5f90c8b

http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_ia64.deb
    Size/MD5 checksum: 57191766 fd750b5ec53e9b271e6a9a6b6a8c7592

mips architecture (MIPS (Big Endian))


http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_mips.deb
    Size/MD5 checksum: 59425636 e903cd19e5c016e0a8b2fb7b152db5ec

http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_mips.deb
    Size/MD5 checksum:    56028 e1d9c13acc9d8e251221b14c930b5172

http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_mips.deb
    Size/MD5 checksum: 11674728 83b91e8518ee428dc6d7cb9566ba54ff

http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_mips.deb
    Size/MD5 checksum:  3707428 18ab15666626952530e1819732475f96

mipsel architecture (MIPS (Little Endian))


http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_mipsel.deb
    Size/MD5 checksum:    55732 c368bc2d18dac3ec865d83b1677efcca

http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_mipsel.deb
    Size/MD5 checksum:  3707400 03ba8ac5d466bed85ac96ec188a3ec61

http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_mipsel.deb
    Size/MD5 checksum: 11438296 2b7ea15c0e698b5a5cdc7445cfbecb66

http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_mipsel.deb
    Size/MD5 checksum: 57501964 9c22fe40c2154e7714b4c852751265bd

powerpc architecture (PowerPC)


http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_powerpc.deb
    Size/MD5 checksum:  3708088 fe79a3b35ecdcf87602f4dc69e568afd

http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_powerpc.deb
    Size/MD5 checksum:    57232 1e65aee9e96495ae8191d6442b17f96d

http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_powerpc.deb
    Size/MD5 checksum: 59499604 27e7f1250d8e1ae86a2db606dbecb42d

http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_powerpc.deb
    Size/MD5 checksum: 12062484 3f15804556ea0aa9de21177937be0f71

s390 architecture (IBM S/390)


http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_s390.deb
    Size/MD5 checksum: 12795730 bea3550a60db31c288ee9f7acc1dbe56

http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_s390.deb
    Size/MD5 checksum: 58573916 62b1aed5e834bf7140649525d3431ba9

http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_s390.deb
    Size/MD5 checksum:  3707716 e12ede189e11a59e5c9a9bd689038ca1

http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_s390.deb
    Size/MD5 checksum:    59444 e3ebdc37058c6da4039e6994afefab33

sparc architecture (Sun SPARC/UltraSPARC)


http://security.debian.org/pool/updates/main/i/icedove/icedove-dbg_2.0.0.22-0lenny1_sparc.deb
    Size/MD5 checksum: 56338680 b95f62bf55eb01eb0339ff5ac7ae680f

http://security.debian.org/pool/updates/main/i/icedove/icedove-gnome-support_2.0.0.22-0lenny1_sparc.deb
    Size/MD5 checksum:    53890 043f1ac4e04a1eda27186a9c282baa15

http://security.debian.org/pool/updates/main/i/icedove/icedove_2.0.0.22-0lenny1_sparc.deb
    Size/MD5 checksum: 11083222 2a3c3d75b1273a1dcdd391b28cec1d75

http://security.debian.org/pool/updates/main/i/icedove/icedove-dev_2.0.0.22-0lenny1_sparc.deb
    Size/MD5 checksum:  3688958 ec9cbf4f683c04496efa8d8089cb72e9


  これらのファイルは次の版の安定版リリース時そちらに移されます。


- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------