thunderbird-68.5.0-1.AXS4

エラータID: AXSA:2020-4478:02

リリース日: 
2020/02/24 Monday - 19:26
題名: 
thunderbird-68.5.0-1.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Thunderbirdには、Eメール識別子を転送するとき、メッセージコンテンツの追加部に
初期化されていないメモリが使われていた脆弱性があります。(CVE-2020-6792)

- Thunderbirdには、不正な形式のエンベロープ部が含まれるEメールを処理するとき、
ランダムにメモリ配置からデータを読み取ってしまう脆弱性があります。
(CVE-2020-6793)

- Thunderbird/Thunderbird は、バージョン 60 よりより前のバージョンで保存したパスワードに対して
バージョン60以降によって新しくマスタパスワードを設定した場合、古い暗号化されていないファイルを
削除しないため、ユーザーの期待に反して、保存されたパスワードの流出を許してしまう脆弱性があります。
(CVE-2020-6794)

- Thunderbirdには、MIMEを処理するコードにバグがあるため、
複数の S/MIME署名を含むメッセージを処理するとき、ヌルポインタデリファレンスを
起こすため、クラッシュを引き起こす脆弱性があります。(CVE-2020-6795)

- Thunderbirdには、selectタグの中でtemplateタグ使われると、JavaScriptの実行が
許されない場面においても JavaScriptをパースし実行してしまうかもしれない脆弱
性があります。(CVE-2020-6798)

- Thunderbirdには、いくつかメモリの安全性に関するバグがあり、任意の
コードが実行可能な脆弱性があります。一般に、この脆弱性は
Thunderbird でメールを読む場合には exploit できません
(メールを読む場合、スクリプトは無効化されるため)が、ブラウザや
ブラウザのようなコンテキストでは潜在的にリスクになります。(CVE-2020-6800)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2020-6792
** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.
CVE-2020-6793
** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.
CVE-2020-6794
** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.
CVE-2020-6795
** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.
CVE-2020-6798
** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.
CVE-2020-6800
** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. thunderbird-68.5.0-1.AXS4.src.rpm
    MD5: 90ea74a4c1accc31056c898cfe44d298
    SHA-256: 848be6cecf49c72ffef5cba0af3d6b97a0a78fbc566ab7fcd232c62c80a19f05
    Size: 516.72 MB

Asianux Server 4 for x86
  1. thunderbird-68.5.0-1.AXS4.i686.rpm
    MD5: 557369f57f7d33cccf9e43648f5841a4
    SHA-256: ebee64e8e746855db3914322d27569c5ce56b195ef5402ca6cac918189ab43fa
    Size: 109.46 MB

Asianux Server 4 for x86_64
  1. thunderbird-68.5.0-1.AXS4.x86_64.rpm
    MD5: ec4ee28dbea3fd9f0f415d0f64d41bfc
    SHA-256: 8e683f1aee3989bc7dc133f6eb852351bdd5e0cb2ea5e1c4cc8ed3e76eb41cbe
    Size: 109.18 MB