Avis du CERTA : Multiples vulnérabilités dans des produits Mozilla
octobre 2007 par CERT-FR
1 Risque
* Exécution de code arbitraire à distance ;
* déni de service à distance ;
* contournement de la politique de sécurité.
2 Systèmes affectés
* Thunderbird et Firefox, les versions antérieures à la 2.0.0.8 ;
* SeaMonkey, les versions antérieures à la 1.1.5.
Il faut cependant noter que, si Mozilla semble corriger les erreurs dans la
version 2.0.0.8 de Thunderbird, seule la version 2.0.0.6 est disponible en
téléchargement public, à la date de rédaction de cet avis.
3 Résumé
Les mises à jour Mozilla corrigent plusieurs vulnérabilités. Deux sont
considérées comme critiques, dont l’une en relation avec l’alerte
CERTA-2007-ALE-015 « Vulnérabilité dans le traitement des URI sous Windows ».
4 Description
Les produits Mozilla sont affectés par plusieurs vulnérabilités. L’une concerne
une mauvaise gestion des URI (Uniform resource Identifier) contenant des
charactères encodés avec %. Une autre entraine un dysfonctionnement avec
corruption de la mémoire.
5 Solution
Se référer au bulletin de sécurité de Mozilla pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletin de sécurité de la fondation Mozilla MFSA2007-29 du 18 octobre 2007
:
http://www.mozilla.org/security/announce/2007/mfsa2007-29.html
* Bulletin de sécurité de la fondation Mozilla MFSA2007-30 du 18 octobre 2007
:
http://www.mozilla.org/security/announce/2007/mfsa2007-30.html
* Bulletin de sécurité de la fondation Mozilla MFSA2007-31 du 18 octobre 2007
:
http://www.mozilla.org/security/announce/2007/mfsa2007-31.html
* Bulletin de sécurité de la fondation Mozilla MFSA2007-32 du 18 octobre 2007
:
http://www.mozilla.org/security/announce/2007/mfsa2007-32.html
* Bulletin de sécurité de la fondation Mozilla MFSA2007-33 du 18 octobre 2007
:
http://www.mozilla.org/security/announce/2007/mfsa2007-33.html
* Bulletin de sécurité de la fondation Mozilla MFSA2007-34 du 18 octobre 2007
:
http://www.mozilla.org/security/announce/2007/mfsa2007-34.html
* Bulletin de sécurité de la fondation Mozilla MFSA2007-35 du 18 octobre 2007
:
http://www.mozilla.org/security/announce/2007/mfsa2007-35.html
* Bulletin de sécurité de la fondation Mozilla MFSA2007-36 du 18 octobre 2007
:
http://www.mozilla.org/security/announce/2007/mfsa2007-36.html
* Alerte CERTA-2007-ALE-015 du 11 octobre 2007 :
http://www.certa.ssi.gouv.fr/site/CERTA-2007-ALE-015/index.html
* Référence CVE CVE-2007-5339 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5339
* Référence CVE CVE-2007-5340 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5340
* Référence CVE CVE-2007-1095 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1095
* Référence CVE CVE-2007-2292 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2292
* Référence CVE CVE-2007-3511 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3511
* Référence CVE CVE-2006-2894 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2894
* Référence CVE CVE-2007-5334 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5334
* Référence CVE CVE-2007-5337 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5337
* Référence CVE CVE-2007-5338 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5338
* Référence CVE CVE-2007-4841 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4841
* Mise à jour Red Hat RHSA-2007-0981 du 19 octobre 2007 pour Thunderbird :
http://rhn.redhat.com/errata/RHSA-2007-0981.html
* Mise à jour Red Hat RHSA-2007-0980 du 19 octobre 2007 pour Seamonkey :
http://rhn.redhat.com/errata/RHSA-2007-0980.html
* Mise à jour Red Hat RHSA-2007-0979 du 19 octobre 2007 pour Firefox :
http://rhn.redhat.com/errata/RHSA-2007-0979.html
* Mise à jour de sécurité Suse du 19 octobre 2007 :
http://lists.opensuse.org/opensuse-security-announce/2007-10/msg00006.html