firefox-60.9.0-1.0.1.el7.AXS7

エラータID: AXSA:2019-4298:05

リリース日: 
2019/09/19 Thursday - 09:11
題名: 
firefox-60.9.0-1.0.1.el7.AXS7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefoxには、マスターパスワードがセットされているとき、'copy password' の
コンテキストメニューを通じて、マスターパスワードの再入力無しにローカルに
保存されているパスワードをクリップボードにコピーできるため、
潜在的に保存されたパスワードが盗まれる可能性がある脆弱性
があります。(CVE-2019-11733)

- Firefoxには、任意コードの実行が可能と推測されている、メモリの安全性の
バグが存在する脆弱性があります。(CVE-2019-11740)

- Firefoxには、 SVGフィルタと canvas 要素を組み合わせることによって、
どんな same-origin ポリシー が キャッシュ済みイメージコンテンツに適用されていても、
ポリシー違反が起こせ、データ盗難が可能な脆弱性があります。(CVE-2019-11742)

- Firefoxには、ロードされていないイベントいくつかのインスタンスでナビ
ゲーションイベントが W3Cのドラフト仕様に完全には準拠していなかったため、
履歴がサイドチャネルタイミング攻撃を通じて、cross-origin な情報露出に
繋がる潜在的な脆弱性があります。(CVE-2019-11743)

- いくつかの HTML要素(例えば、titleとtextarea)はリテラルなかぎ括弧 を
マークアップとして扱わないため、サイトがユーザーの入力を厳密に
フィルタしないとき、XSS に繋がる脆弱性があります。(CVE-2019-11744)

- Firefoxには、まだ使われているにもかかわらず、bodyが解放されている場合、
video要素を操作しているときに、 use-after-free が起こるため、潜在的に
クラッシュさせる脆弱性があります。(CVE-2019-11746)

- Firefoxには、IndexedDBのキーと値の削除と、その後変換の間に展開することが
可能なため、結果として use-after-free と 潜在的にクラッシュさせる
脆弱性があります。(CVE-2019-11752)

- 現時点では CVE-2019-9812 の情報が公開されておりません。
CVE の情報が公開され次第情報をアップデートいたします。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-60.9.0-1.0.1.el7.AXS7.src.rpm
    MD5: fddf3603c57bd993cd5b1ded5c581611
    SHA-256: b56db405e2d6f7a0a0a7d5b06a045bc05f5d18b305a5cd340efd175f431f5928
    Size: 417.26 MB

Asianux Server 7 for x86_64
  1. firefox-60.9.0-1.0.1.el7.AXS7.x86_64.rpm
    MD5: 45db111483db4c53d1c24f6e9009d238
    SHA-256: ea3b9f0807234323dc4d9a3ff9210649aacd1856e7fa6f9ea8021aa0f3336647
    Size: 90.87 MB
  2. firefox-60.9.0-1.0.1.el7.AXS7.i686.rpm
    MD5: 436e579b47a3efe7fc44fb5b4d5bd1cf
    SHA-256: 65b2ddea87bf1391cac22c93a3823f96c471db80ff4ec6819c0693ddb21e653f
    Size: 92.63 MB