firefox-68.6.0-1.0.1.el7.AXS7

エラータID: AXSA:2020-4500:06

リリース日: 
2020/03/18 Wednesday - 06:50
題名: 
firefox-68.6.0-1.0.1.el7.AXS7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefoxには、usrsctpに範囲外読み込みをしてしまう脆弱性があります。(CVE-2019-20503)

- Firefoxには、タブが閉じられ元のデータを取り除くときに、 use-after-free が
Quota manager の内部で起こり、潜在的にクラッシュが可能な脆弱性があります。
(CVE-2020-6805)

- Firefoxには、巧妙に細工された promise 解決により、スクリプト実行中にサイズが
変更された配列の後ろを読み込みが可能な、境界外アクセスの問題があり、メモリ破壊と
潜在的なクラッシュに繋がるおそれがあります。(CVE-2020-6806)

- Firefoxには、ストリームを破棄する直前にデバイスが変更されると、ストリーム破棄後に
stream-reinit タスクが実行されてしまい、use-after-free を引き起こし、潜在的に
クラッシュする可能性があります。(CVE-2020-6807)

- Firefoxには、開発ツールのネットワークタブで 'cURLとしてコピー' 機能が HTTPリクエストを
正しくエスケープしないため、ユーザーがこの機能を使ってターミナルに貼り付けたとき、結果として
コマンドインジェクションや任意のコード実行に繋がる脆弱性があります。
(CVE-2020-6811)

- Firefoxには、AirPods が最初に iPhoneに繋げられたとき、デフォルトではユーザー名がつけられる
(例: Jane Doe's AirPods)ため、カメラやマイクの権限を持つ Webサイトが、デバイス名を列挙するこ
とにより、ユーザーの名前が露出してしまう問題がありました。この問題を解決するため、Firefoxは特
別なケースとして、'AirPods'という名前を含むデバイスをシンプルに'AirPods'と再命名します。
(CVE-2020-6812)

- Firefoxには、メモリに安全性に関するバグがあり、任意のコードが実行可能な脆弱性
があります。(CVE-2020-6814)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-68.6.0-1.0.1.el7.AXS7.src.rpm
    MD5: 53cb2a1a5cfd02896ebdd34812d1414e
    SHA-256: 009208a303dd9e984ecaf202ef7c970cd69b7877d05195775d277112a0b3f12b
    Size: 506.69 MB

Asianux Server 7 for x86_64
  1. firefox-68.6.0-1.0.1.el7.AXS7.x86_64.rpm
    MD5: b5957e3231a111fffd04bdad61a18aff
    SHA-256: dc74db0c4255758ba00bc6b9e8683443e3432ec758c27213fb00caa86e5d363d
    Size: 94.40 MB
  2. firefox-68.6.0-1.0.1.el7.AXS7.i686.rpm
    MD5: e2461324d5dedfab4394723621e183ed
    SHA-256: 41186dae0b3ee9708734315c43ad4e38b7af57417be75ba3caee57503339b25f
    Size: 97.24 MB