-------------------------------------------------------------------------- Aviso de seguridad de Debian DSA 781-1 security@debian.org http://www.debian.org/security/ Martin Schulze 23 de agosto de 2005 http://www.debian.org/security/faq -------------------------------------------------------------------------- Paquete : mozilla-thunderbird Vulnerabilidad : varias Ámbito : remoto Sólo en Debian : no Id. de CVE : CAN-2005-0989 CAN-2005-1159 CAN-2005-1160 CAN-2005-1532 CAN-2005-2261 CAN-2005-2265 CAN-2005-2266 CAN-2005-2269 CAN-2005-2270 Id. de BugTraq : 14242 14242 Error Debian : 318728 Se han descubierto varios problemas en Mozilla Thunderbird, el programa cliente de correo de la suite Mozilla. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas: CAN-2005-0989 Los atacantes remotos podían leer porciones de memoria del montón en una cadena Javascript mediante el método de reemplazo lambda. CAN-2005-1159 Al intérprete de Javascript se le podía engañar para que continuase la ejecución en una dirección de memoria errónea, lo que podía permitir que los atacantes provocasen una denegación de servicio (por caída de la aplicación) y, posiblemente, la ejecución de código arbitrario. CAN-2005-1160 Los atacantes remotos podían sobreescribir ciertas propiedades o métodos de los nodos DOM y obtener privilegios. CAN-2005-1532 Los atacantes remotos podían sobreescribir ciertas propiedades o métodos debido a la limitación inadecuada de evaluaciones de Javascript y objetos Script y obtener privilegios. CAN-2005-2261 Los guiones XML se podían ejecutar aunque Javascript estuviese desactivado. CAN-2005-2265 Un olvido en el saneamiento de la entrada de InstallVersion.compareTo() podía provocar que la aplicación cayese. CAN-2005-2266 Los atacantes remotos podían robar información sensible, como cookies y contraseñas, de sitios web accediendo a los datos de los marcos adyacentes. CAN-2005-2269 Los atacantes remotos podían modificar las propiedades de ciertas etiquetas en los nodos DOM, lo que podría conducir a la ejecución de guiones o de código arbitrario. CAN-2005-2270 La familia de navegadores Mozilla no clonaba adecuadamente los objetos base, lo que permitía que los atacantes remotos ejecutasen código arbitrario. La distribución estable anterior (woody) no se ve afectada por estos problemas porque no contiene los paquetes de Mozilla Thunderbird. Para la distribución estable (sarge), estos problemas se han corregido en la versión 1.0.2-2.sarge1.0.6. Para la distribución inestable (sid), estos problemas se han corregido en la versión 1.0.6-1. Le recomendamos que actualice el paquete de Mozilla Thunderbird. Instrucciones de actualización ------------------------------ wget url obtiene el archivo. dpkg -i archivo.deb instala el archivo indicado. Si va a usar el gestor de paquetes apt-get, emplee la línea para sources.list que se proporciona al final: apt-get update actualiza la base de datos interna apt-get upgrade instala los paquetes corregidos Puede usar una actualización automatizada, añadiendo los recursos del pie para la configuración adecuada. Debian GNU/Linux 3.1 alias sarge -------------------------------- Archivos con el código fuente: http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6.dsc Tamaño y suma MD5: 997 53157e26cb9b032a3fdd375adcbac2bb http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6.diff.gz Tamaño y suma MD5: 187279 35ff6f4f69563681c282d818f9e08f23 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2.orig.tar.gz Tamaño y suma MD5: 33288906 806175393a226670aa66060452d31df4 Arquitectura Alpha: http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_alpha.deb Tamaño y suma MD5: 12828558 258ee4d7ccd16193ef73a1e7f76b5e8e http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-dev_1.0.2-2.sarge1.0.6_alpha.deb Tamaño y suma MD5: 3268880 e22ea42c42b9d9194c071b67372e1ed2 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-inspector_1.0.2-2.sarge1.0.6_alpha.deb Tamaño y suma MD5: 144960 78f53d39b9e4cf6897d29896a09f1fa9 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-offline_1.0.2-2.sarge1.0.6_alpha.deb Tamaño y suma MD5: 26498 342c404ee93371fc0897059f549a7a9d http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-typeaheadfind_1.0.2-2.sarge1.0.6_alpha.deb Tamaño y suma MD5: 82278 48ad0c63a3da09affde9bbe934aff4e7 Arquitectura AMD64: http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_amd64.deb Tamaño y suma MD5: 12239002 886db98a0472273676651b622fb6db78 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-dev_1.0.2-2.sarge1.0.6_amd64.deb Tamaño y suma MD5: 3269560 403f483ecb3adff814c78e3b8a44267f http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-inspector_1.0.2-2.sarge1.0.6_amd64.deb Tamaño y suma MD5: 144004 a7a1bafd0ead6f05ec2c7513431e2761 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-offline_1.0.2-2.sarge1.0.6_amd64.deb Tamaño y suma MD5: 26498 056144ff158bbaa3e95081fb207ca026 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-typeaheadfind_1.0.2-2.sarge1.0.6_amd64.deb Tamaño y suma MD5: 82162 857d764cd365c7aecda22aadb794b2cf Arquitectura ARM: http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_arm.deb Tamaño y suma MD5: 10325602 afb900570718804d74b643b6fdcbe42a http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-dev_1.0.2-2.sarge1.0.6_arm.deb Tamaño y suma MD5: 3264246 3cf2f71afc85cfdce8c2e80ad8b183a8 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-inspector_1.0.2-2.sarge1.0.6_arm.deb Tamaño y suma MD5: 136040 ef6d7998e45503c38565f53f1d240dd0 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-offline_1.0.2-2.sarge1.0.6_arm.deb Tamaño y suma MD5: 26514 06819b7ec681da9c0c30ea37526d3c70 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-typeaheadfind_1.0.2-2.sarge1.0.6_arm.deb Tamaño y suma MD5: 74152 82e1e77ab75f6de61f6717af97e551c7 Arquitectura Intel IA-32: http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_i386.deb Tamaño y suma MD5: 11523292 0b3272e1f860da8d415a9d492718dab9 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-dev_1.0.2-2.sarge1.0.6_i386.deb Tamaño y suma MD5: 3267364 e1c3e4a8c865bc13d69d94c5774c6806 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-inspector_1.0.2-2.sarge1.0.6_i386.deb Tamaño y suma MD5: 139484 43e24cd43ad7b87206866614dbe7f73c http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-offline_1.0.2-2.sarge1.0.6_i386.deb Tamaño y suma MD5: 26502 e10611304b82a03ff28646cbc4a3ef4c http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-typeaheadfind_1.0.2-2.sarge1.0.6_i386.deb Tamaño y suma MD5: 80868 a017cf6698d4dc08d574083061876b18 Arquitectura Intel IA-64: http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_ia64.deb Tamaño y suma MD5: 14600148 ed6a27da1a997f2259c095a2d0fcd116 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-dev_1.0.2-2.sarge1.0.6_ia64.deb Tamaño y suma MD5: 3283336 110376398b8b9ed932365de3f059f455 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-inspector_1.0.2-2.sarge1.0.6_ia64.deb Tamaño y suma MD5: 148328 d1b4914d0ac468538289856fc9e2c397 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-offline_1.0.2-2.sarge1.0.6_ia64.deb Tamaño y suma MD5: 26500 36addd7bbce708f80f32a9ed7ec7307d http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-typeaheadfind_1.0.2-2.sarge1.0.6_ia64.deb Tamaño y suma MD5: 99946 91de5051f92e86f47aacc6a9909e1223 Arquitectura HP Precision: http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_hppa.deb Tamaño y suma MD5: 13547772 1c53fd2a25d264244cb6d192cec34efd http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-dev_1.0.2-2.sarge1.0.6_hppa.deb Tamaño y suma MD5: 3273922 fcfe3f416265b9315e1997959aa22dd1 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-inspector_1.0.2-2.sarge1.0.6_hppa.deb Tamaño y suma MD5: 146188 539321f5b43e18f58733c4105efec4cf http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-offline_1.0.2-2.sarge1.0.6_hppa.deb Tamaño y suma MD5: 26512 5d91015a025bea70b15d65034233fdd0 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-typeaheadfind_1.0.2-2.sarge1.0.6_hppa.deb Tamaño y suma MD5: 90102 5947cd276b59a4637903a55af3a02303 Arquitectura Motorola 680x0: http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_m68k.deb Tamaño y suma MD5: 10773214 e5fd6d229f37532ad9d0333b96cee1c2 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-dev_1.0.2-2.sarge1.0.6_m68k.deb Tamaño y suma MD5: 3262424 f75ea663061af141c1c6e08a73defb27 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-inspector_1.0.2-2.sarge1.0.6_m68k.deb Tamaño y suma MD5: 137868 4ef977ad2552ddf5e6fe7d13479bb1e5 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-offline_1.0.2-2.sarge1.0.6_m68k.deb Tamaño y suma MD5: 26516 84fe211d15cbd087124ee92e2fda0261 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-typeaheadfind_1.0.2-2.sarge1.0.6_m68k.deb Tamaño y suma MD5: 75366 f43e5ab28d62618be3e62e37c1b76002 Arquitectura Big endian MIPS: http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_mips.deb Tamaño y suma MD5: 11932052 1935ec7c91cdb9b5e468d46d7d9157bf http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-dev_1.0.2-2.sarge1.0.6_mips.deb Tamaño y suma MD5: 3269080 5582d0a2a1a1eceb4cc69eae7c9267ac http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-inspector_1.0.2-2.sarge1.0.6_mips.deb Tamaño y suma MD5: 140938 3578a4a679ffce4b60876f94de99c8d3 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-offline_1.0.2-2.sarge1.0.6_mips.deb Tamaño y suma MD5: 26504 9e9a2e7cf4d2250377f24b7d7057b198 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-typeaheadfind_1.0.2-2.sarge1.0.6_mips.deb Tamaño y suma MD5: 77706 5abd79f4f7377cb3f1abaedb83f1bb99 Arquitectura Little endian MIPS: http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_mipsel.deb Tamaño y suma MD5: 11792168 776ae7ac955ed7752f7ef68b8793a8a4 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-dev_1.0.2-2.sarge1.0.6_mipsel.deb Tamaño y suma MD5: 3269258 a347fe9187b6da7236529d34e5e511b5 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-inspector_1.0.2-2.sarge1.0.6_mipsel.deb Tamaño y suma MD5: 140496 17e19ca8b6b544e15a179d20d8e8c486 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-offline_1.0.2-2.sarge1.0.6_mipsel.deb Tamaño y suma MD5: 26502 6660fd9aa6bb0c1e334df72af0070386 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-typeaheadfind_1.0.2-2.sarge1.0.6_mipsel.deb Tamaño y suma MD5: 77556 5a3137f17694cfbd1579aba9b3272e18 Arquitectura PowerPC: http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_powerpc.deb Tamaño y suma MD5: 10891054 a18795385ebbc6ed25eaf90387d54eea http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-dev_1.0.2-2.sarge1.0.6_powerpc.deb Tamaño y suma MD5: 3262070 ec3bf4e8c959dac7dbbca1de8dbe8c11 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-inspector_1.0.2-2.sarge1.0.6_powerpc.deb Tamaño y suma MD5: 137876 194bf4676b6294708344f572b5495786 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-offline_1.0.2-2.sarge1.0.6_powerpc.deb Tamaño y suma MD5: 26502 e0a5e3b166e1fbff1680c3d397e61aeb http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-typeaheadfind_1.0.2-2.sarge1.0.6_powerpc.deb Tamaño y suma MD5: 74240 35dcda6db87be485de2cc1a5581c5379 Arquitectura IBM S/390: http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_s390.deb Tamaño y suma MD5: 12683578 d218dfa4a370a6b698e87481a7bc23c8 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-dev_1.0.2-2.sarge1.0.6_s390.deb Tamaño y suma MD5: 3269612 e53f9324d774d130c0a319467690e551 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-inspector_1.0.2-2.sarge1.0.6_s390.deb Tamaño y suma MD5: 144314 91369b2da923d03324cb7bc5507c2ac3 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-offline_1.0.2-2.sarge1.0.6_s390.deb Tamaño y suma MD5: 26510 7fc5828a1d89c0142f65896b35577382 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-typeaheadfind_1.0.2-2.sarge1.0.6_s390.deb Tamaño y suma MD5: 82196 af4fc5e81876b142f84e6ef40b98c135 Arquitectura Sun Sparc: http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_sparc.deb Tamaño y suma MD5: 11155834 d6e7eee2c9ccd2f050672bb759fa4866 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-dev_1.0.2-2.sarge1.0.6_sparc.deb Tamaño y suma MD5: 3266376 eb63387994b5d108ed735cd70ccfe0f3 http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-inspector_1.0.2-2.sarge1.0.6_sparc.deb Tamaño y suma MD5: 137498 37e5452c55fbe883021466f0a9289abf http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-offline_1.0.2-2.sarge1.0.6_sparc.deb Tamaño y suma MD5: 26508 d45278e5302d461392b9ef8b376071bb http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird-typeaheadfind_1.0.2-2.sarge1.0.6_sparc.deb Tamaño y suma MD5: 75996 409d7ea53302393fbfe387910562edab Estos archivos probablemente se pasen a la distribución estable en la próxima actualización. --------------------------------------------------------------------- Para apt-get: deb http://security.debian.org/ stable/updates main Para dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main Lista de correo: debian-security-announce@lists.debian.org Info paquete: 'apt-cache show <paquete>' y http://packages.debian.org/<paquete> -- Juan Manuel Garcia Molina Debian GNU/Linux Developer juanma@debian.org http://www.debian.org
Attachment:
pgpBGAF64mNO3.pgp
Description: PGP signature