CERTA-2007-AVI-446
Vulnerability from certfr_avis

Les mises à jour Mozilla corrigent plusieurs vulnérabilités. Deux sont considérées comme critiques, dont l'une en relation avec l'alerte CERTA-2007-ALE-015 «Vulnérabilité dans le traitement des URI sous Windows».

Description

Les produits Mozilla sont affectés par plusieurs vulnérabilités. L'une concerne une mauvaise gestion des URI (Uniform resource Identifier) contenant des charactères encodés avec %. Une autre entraine un dysfonctionnement avec corruption de la mémoire.

Solution

Se référer au bulletin de sécurité de Mozilla pour l'obtention des correctifs (cf. section Documentation).

  • Thunderbird et Firefox, les versions antérieures à la 2.0.0.8 ;
  • SeaMonkey, les versions antérieures à la 1.1.5.

Il faut cependant noter que, si Mozilla semble corriger les erreurs dans la version 2.0.0.8 de Thunderbird, seule la version 2.0.0.6 est disponible en téléchargement public, à la date de rédaction de cet avis.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cUL\u003e    \u003cLI\u003eThunderbird et Firefox, les versions ant\u00e9rieures \u00e0 la    2.0.0.8 ;\u003c/LI\u003e    \u003cLI\u003eSeaMonkey, les versions ant\u00e9rieures \u00e0 la 1.1.5.\u003c/LI\u003e  \u003c/UL\u003e  \u003cP\u003eIl faut cependant noter que, si Mozilla semble corriger les  erreurs dans la version 2.0.0.8 de Thunderbird, seule la version  2.0.0.6 est disponible en t\u00e9l\u00e9chargement public, \u00e0 la date de  r\u00e9daction de cet avis.\u003c/P\u003e",
  "content": "## Description\n\nLes produits Mozilla sont affect\u00e9s par plusieurs vuln\u00e9rabilit\u00e9s. L\u0027une\nconcerne une mauvaise gestion des URI (Uniform resource Identifier)\ncontenant des charact\u00e8res encod\u00e9s avec %. Une autre entraine un\ndysfonctionnement avec corruption de la m\u00e9moire.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de Mozilla pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2007-5338",
      "url": "https://www.cve.org/CVERecord?id=CVE-2007-5338"
    },
    {
      "name": "CVE-2007-5340",
      "url": "https://www.cve.org/CVERecord?id=CVE-2007-5340"
    },
    {
      "name": "CVE-2007-2292",
      "url": "https://www.cve.org/CVERecord?id=CVE-2007-2292"
    },
    {
      "name": "CVE-2007-5339",
      "url": "https://www.cve.org/CVERecord?id=CVE-2007-5339"
    },
    {
      "name": "CVE-2007-3511",
      "url": "https://www.cve.org/CVERecord?id=CVE-2007-3511"
    },
    {
      "name": "CVE-2007-5334",
      "url": "https://www.cve.org/CVERecord?id=CVE-2007-5334"
    },
    {
      "name": "CVE-2007-1095",
      "url": "https://www.cve.org/CVERecord?id=CVE-2007-1095"
    },
    {
      "name": "CVE-2007-5337",
      "url": "https://www.cve.org/CVERecord?id=CVE-2007-5337"
    },
    {
      "name": "CVE-2006-2894",
      "url": "https://www.cve.org/CVERecord?id=CVE-2006-2894"
    },
    {
      "name": "CVE-2007-4841",
      "url": "https://www.cve.org/CVERecord?id=CVE-2007-4841"
    }
  ],
  "initial_release_date": "2007-10-19T00:00:00",
  "last_revision_date": "2007-10-22T00:00:00",
  "links": [
    {
      "title": "Mise \u00e0 jour Red Hat RHSA-2007-0979 du 19 octobre 2007 pour    Firefox :",
      "url": "http://rhn.redhat.com/errata/RHSA-2007-0979.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla MFSA2007-35 du    18 octobre 2007 :",
      "url": "http://www.mozilla.org/security/announce/2007/mfsa2007-35.html"
    },
    {
      "title": "Mise \u00e0 jour Red Hat RHSA-2007-0981 du 19 octobre 2007 pour    Thunderbird :",
      "url": "http://rhn.redhat.com/errata/RHSA-2007-0981.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla MFSA2007-31 du    18 octobre 2007 :",
      "url": "http://www.mozilla.org/security/announce/2007/mfsa2007-31.html"
    },
    {
      "title": "Alerte CERTA-2007-ALE-015 du 11 octobre 2007 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2007-ALE-015/index.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla MFSA2007-33 du    18 octobre 2007 :",
      "url": "http://www.mozilla.org/security/announce/2007/mfsa2007-33.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla MFSA2007-36 du    18 octobre 2007 :",
      "url": "http://www.mozilla.org/security/announce/2007/mfsa2007-36.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla MFSA2007-30 du    18 octobre 2007 :",
      "url": "http://www.mozilla.org/security/announce/2007/mfsa2007-30.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla MFSA2007-29 du    18 octobre 2007 :",
      "url": "http://www.mozilla.org/security/announce/2007/mfsa2007-29.html"
    },
    {
      "title": "Mise \u00e0 jour de s\u00e9curit\u00e9 Suse du 19 octobre 2007 :",
      "url": "http://lists.opensuse.org/opensuse-security-announce/2007-10/msg00006.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla MFSA2007-32 du    18 octobre 2007 :",
      "url": "http://www.mozilla.org/security/announce/2007/mfsa2007-32.html"
    },
    {
      "title": "Mise \u00e0 jour Red Hat RHSA-2007-0980 du 19 octobre 2007 pour    Seamonkey :",
      "url": "http://rhn.redhat.com/errata/RHSA-2007-0980.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 de la fondation Mozilla MFSA2007-34 du    18 octobre 2007 :",
      "url": "http://www.mozilla.org/security/announce/2007/mfsa2007-34.html"
    }
  ],
  "reference": "CERTA-2007-AVI-446",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2007-10-19T00:00:00.000000"
    },
    {
      "description": "ajout des r\u00e9f\u00e9rences pour Red Hat et Suse.",
      "revision_date": "2007-10-22T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service \u00e0 distance"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Les mises \u00e0 jour Mozilla corrigent plusieurs vuln\u00e9rabilit\u00e9s. Deux sont\nconsid\u00e9r\u00e9es comme critiques, dont l\u0027une en relation avec l\u0027alerte\nCERTA-2007-ALE-015 \u00abVuln\u00e9rabilit\u00e9 dans le traitement des URI sous\nWindows\u00bb.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans des produits Mozilla",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletins de s\u00e9curit\u00e9 Mozilla 2007-29 \u00e0 2007-36 du 18 octobre 2007",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.