Plusieurs vulnérabilité à distance ont été découvertes dans le client de courriels Icedove, une version en marque blanche du client Thunderbird. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
Gatan Leurent a découvert une faiblesse de chiffrement dans l'authentification APOP, cela réduit les efforts nécessaires pour intercepter un mot de passe via une attaque par la technique de l'homme au milieu. La mise à jour applique une validation plus stricte ce qui empêche cette attaque.
Boris Zbarsky, Eli Friedman, Georgi Guninski, Jesse Ruderman, Martijn Wargers et Olli Pettay ont découvert des plantages dans le moteur de rendu ; cela peut permettre l'exécution de code arbitraire.
Brendan Eich, Igor Bukanov, Jesse Ruderman, moz_bug_r_a4
et Wladimir Palant
ont découvert des plantages dans le moteur JavaScript ; cela peut
permettre l'exécution de code arbitraire.
Les corrections pour l'ancienne distribution stable (Sarge) ne sont pas disponibles. Bien qu'il y aura un autre ensemble de mises à jour de sécurité pour les produits Mozilla, Debian ne dispose pas des ressources pour rétroporter d'autres corrections de sécurité sur les anciens produits Mozilla. Vous êtes fortement encouragés à effectuer une mise à jour vers la distribution stable dès que possible.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.5.0.12.dfsg1-0etch1.
La distribution instable (Sid) sera corrigée prochainement.
Nous vous recommandons de mettre à jour vos paquets icedove.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.