Debian DSA-2720-1：icedove - 多个漏洞

critical Nessus 插件 ID 67201

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

已发现 Icedove（Debian 版本的 Mozilla Thunderbird 邮件和新闻客户端）中存在多个安全问题。多种内存安全问题、释放后使用漏洞、缺少的权限检查、错误的内存处理以及其他实现错误可能导致任意代码执行、权限升级、信息泄露或跨站请求伪造。

如同针对 Iceweasel 的公告：我们正在更改稳定安全版本中 Icedove 的安全更新的方法：我们现在提供基于 Extended Support Release 分支的版本，而不是向后移植安全补丁。因此，此更新引入基于 Thunderbird 17 的程序包，在未来某时，一旦 ESR 17 结束生命周期，我们将切换到下一个 ESR 分支。

Debian 存档中当前打包的某些 Icedove 扩展与新的浏览器引擎不兼容。可从 http://addons.mozilla.org 检索最新的可兼容版本，作为短期解决方案。

此更新中包含更新后的 Enigmail 兼容版本。

通过完整的安全更新，不再支持旧稳定发行版本 (squeeze) 中的 Icedove 版本。但应注意，Icedove 中的几乎所有安全问题都源自包含的浏览器引擎。这些安全问题仅在脚本和 HTML 邮件启用时才影响 Icedove。如果存在特定于 Icedove 的安全问题（例如 IMAP 实现中的假想缓冲区溢出），我们会努力将这些补丁向后移植到旧稳定发行版本。