firefox-60.9.0-1.0.1.AXS4

エラータID: AXSA:2019-4316:05

リリース日: 
2019/09/25 Wednesday - 08:14
題名: 
firefox-60.9.0-1.0.1.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefoxには、マスターパスワードがセットされているとき、'copy password' の
コンテキストメニューを通じて、マスターパスワードの再入力無しにローカルに
保存されているパスワードをクリップボードにコピーできるため、
潜在的に保存されたパスワードが盗まれる可能性がある脆弱性
があります。(CVE-2019-11733)

- Firefoxには、任意コードの実行が可能と推測されている、メモリの安全性の
バグが存在する脆弱性があります。(CVE-2019-11740)

- Firefoxには、 SVGフィルタと canvas 要素を組み合わせることによって、
どんな same-origin ポリシー が キャッシュ済みイメージコンテンツに適用されていても、
ポリシー違反が起こせ、データ盗難が可能な脆弱性があります。(CVE-2019-11742)

- Firefoxには、ロードされていないイベントいくつかのインスタンスでナビ
ゲーションイベントが W3Cのドラフト仕様に完全には準拠していなかったため、
履歴がサイドチャネルタイミング攻撃を通じて、cross-origin な情報露出に
繋がる潜在的な脆弱性があります。(CVE-2019-11743)

- いくつかの HTML要素(例えば、titleとtextarea)はリテラルなかぎ括弧 を
マークアップとして扱わないため、サイトがユーザーの入力を厳密に
フィルタしないとき、XSS に繋がる脆弱性があります。(CVE-2019-11744)

- Firefoxには、まだ使われているにもかかわらず、bodyが解放されている場合、
video要素を操作しているときに、 use-after-free が起こるため、潜在的に
クラッシュさせる脆弱性があります。(CVE-2019-11746)

- Firefoxには、IndexedDBのキーと値の削除と、その後変換の間に展開することが
可能なため、結果として use-after-free と 潜在的にクラッシュさせる
脆弱性があります。(CVE-2019-11752)

- 現時点では CVE-2019-9812 の情報が公開されておりません。
CVE の情報が公開され次第情報をアップデートいたします。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2019-11733
When a master password is set, it is required to be entered again before stored passwords can be accessed in the 'Saved Logins' dialog. It was found that locally stored passwords can be copied to the clipboard thorough the 'copy password' context menu item without re-entering the master password if the master password had been previously entered in the same session, allowing for potential theft of stored passwords. This vulnerability affects Firefox < 68.0.2 and Firefox ESR < 68.0.2.
CVE-2019-11740
Mozilla developers and community members reported memory safety bugs present in Firefox 68, Firefox ESR 68, and Firefox 60.8. Some of these bugs showed evidence of memory corruption and we presume that with enough effort that some of these could be exploited to run arbitrary code. This vulnerability affects Firefox < 69, Thunderbird < 68.1, Thunderbird < 60.9, Firefox ESR < 60.9, and Firefox ESR < 68.1.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-60.9.0-1.0.1.AXS4.src.rpm
    MD5: 4b398f8701ce07ec3420b50f361e117c
    SHA-256: e41c461f129d4ce38ded5e0db52a9b0c90682448ac2ad85e8130b37c3eb9f3fe
    Size: 417.26 MB

Asianux Server 4 for x86
  1. firefox-60.9.0-1.0.1.AXS4.i686.rpm
    MD5: 10dad5d15143f3f6df012d4f00ca6de8
    SHA-256: 26184df1b1b763c65d9d7ddbca5f606ce17be086155c412b035b76a175e67e8e
    Size: 115.12 MB

Asianux Server 4 for x86_64
  1. firefox-60.9.0-1.0.1.AXS4.x86_64.rpm
    MD5: 5437a8c0081a6f6b48d8acda564e4471
    SHA-256: 5190a02cbf14789b601eb0538c44d0887efe65218109a62f5331ad58534026a7
    Size: 115.34 MB
  2. firefox-60.9.0-1.0.1.AXS4.i686.rpm
    MD5: 10dad5d15143f3f6df012d4f00ca6de8
    SHA-256: 26184df1b1b763c65d9d7ddbca5f606ce17be086155c412b035b76a175e67e8e
    Size: 115.12 MB