[Pardus-guvenlik] [PLSA 2009-139] Thunderbird: Birden Fazla Zaafiyet
pardus-guvenlik at pardus.org.tr
pardus-guvenlik at pardus.org.tr
2 Eyl 2009 Çar 21:12:29 EEST
------------------------------------------------------------------------
Pardus Linux Güvenlik Bildirisi 2009-139 guvenlik at pardus.org.tr
------------------------------------------------------------------------
Tarih: 2009-09-02
Önem: 4
Tür: Remote
------------------------------------------------------------------------
Özet
====
Mozilla Thunderbird'de kötü niyetli kişilerin belirli güvenlik
kısıtlamalarını aşmak ya da zayıf durumdaki sisteme zarar vermek
için kullanabilecekleri bazı zaafiyetler raporlandı.
Açıklama
========
1) Sertifikalardaki genel isimleri eşleştirirken düzenli ifade
ayrıştırıcısında oluşan bir hata, örneğin güvenilir
işaretlenmiş bir sertifika mercisi tarafından imzalanmış fakat
özel olarak hazırlanmış bir sertifika gibi bir yolla, ayrılmış
bellek tabanlı bir tampon taşmasına neden olmak için
kullanılabilir.
Zaafiyetten başarılı şekilde faydalanılması isteğe bağlı kod
çalıştırmaya olanak verebilir.
2) Belirli sertifika alanlarının ayrıştırılması sırasında bir
hata oluşuyor. Bu hata örneğin istemcilerin özel olarak
hazırlanmış sertifikaları yanlışlıkla kabul etmelerini sağlamak
için kullanılabilir.
Etkilenen paketler:
Pardus 2008:
thunderbird, 2.0.0.23-46-10 öncesi tüm sürümler
Çözüm
=====
thunderbird için güncelleme mevcut. Paket Yöneticisi'ni kullanarak, ya
da konsolda tek komut ile güncelleme yapabilirsiniz:
pisi up thunderbird
Referanslar
===========
* http://bugs.pardus.org.tr/show_bug.cgi?id=10960
* http://www.mozilla.org/security/announce/2009/mfsa2009-42.html
* http://www.mozilla.org/security/announce/2009/mfsa2009-43.html
* http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2404
* http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2408
------------------------------------------------------------------------
Pardus-guvenlik mesaj listesiyle ilgili
daha fazla bilgi