Debian DSA-2720-1 : icedove - 數個弱點

critical Nessus Plugin ID 67201

語系：

概要

遠端 Debian 主機缺少安全性更新。

說明

在 Icedove (Mozilla Thunderbird 郵件和新聞用戶端的 Debian 版本) 中發現多個安全性問題。多個記憶體安全錯誤、釋放後使用弱點、遺漏權限檢查、不正確的記憶體處理和其他實作錯誤，可導致任意程式碼執行、權限提升、資訊洩漏或跨網站要求偽造。

如 Iceweasel 的公告內容：我們將變更穩定版安全性中 Icedove 安全性更新的方法：而不是反向移植安全性修正，我們現在會根據延伸支援版本分支提供版本。因此，此更新會根據 Thunderbird 17 引入套件，且在未來的某一時刻，我們會在 ESR 17 已達支援期限後切換至下一個 ESR 分支。

目前封裝於 Debian 封存中的一些 Icedove 延伸模組，與新瀏覽器引擎不相容。最新的相容版本可以從 http://addons.mozilla.org 擷取，做為短期解決方案。

此更新包含更新版及相容版 Enigmail。

完整安全性更新不再支援舊的穩定發行版本 (squeeze) 中的 Icedove 版本。不過請注意，Icedove stem 中的所有安全性問題都是隨附瀏覽器引擎所造成的。如果已啟用指令碼和 HTML 郵件，則這些安全性問題將僅影響 Icedove。若存有和 Icedove 相關的安全性問題 (例如：IMAP 實作中的假設性緩衝區溢位)，我們會致力於將這些修正項目反向移植至舊的穩定發行版本。