AXSA:2020-4526:07

リリース日: 
2020/03/25 Wednesday - 05:10
題名: 
firefox-68.6.0-1.0.1.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
High
Description: 

以下項目について対処しました。
[Security Fix]
- Firefoxには、usrsctp に範囲外読み込みをしてしまう脆弱性があります。
(CVE-2019-20503)

- Firefoxには、タブが閉じられ元のデータを取り除くときに、use-after-free が
Quota manager の内部で起こり、潜在的にクラッシュが可能な脆弱性があります。
(CVE-2020-6805)

- Firefoxには、巧妙に細工された promise 解決により、スクリプト実行中に
サイズが変更された配列の後ろを読み込みが可能な、境界外アクセスの問題が
あり、メモリ破壊と潜在的なクラッシュに繋がるおそれがあります。(CVE-2020-6806)

- Firefoxには、ストリームを破棄する直前にデバイスが変更されると、ストリーム
破棄後に stream-reinit タスクが実行されてしまい、use-after-free を引き起こし、
潜在的にクラッシュする可能性があります。(CVE-2020-6807)

- Firefoxには、開発ツールのネットワークタブで 'cURLとしてコピー' 機能が
HTTPリクエストを正しくエスケープしないため、ユーザーがこの機能を使って
ターミナルに貼り付けたとき、結果としてコマンドインジェクションや任意の
コード実行に繋がる脆弱性があります。(CVE-2020-6811)

- Firefoxには、AirPods が最初に iPhoneに繋げられたとき、デフォルトでは
ユーザー名がつけられる (例: Jane Doe's AirPods) ため、カメラやマイクの
権限を持つ Webサイトが、デバイス名を列挙することにより、ユーザーの名前が
露出してしまう問題がありました。この問題を解決するため、Firefox は特別な
ケースとして、'AirPods' という名前を含むデバイスをシンプルに 'AirPods'
と再命名します。(CVE-2020-6812)

- Firefoxには、メモリに安全性に関するバグがあり、任意のコードが実行可能な脆弱性
があります。(CVE-2020-6814)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-68.6.0-1.0.1.AXS4.src.rpm
    MD5: 4d49cffcf4f98f11beed2dd4bda1efa1
    SHA-256: 50f9a539ea89fb98edb89449d7a012f32e5769862be4871888cc878093577c20
    Size: 506.69 MB

Asianux Server 4 for x86
  1. firefox-68.6.0-1.0.1.AXS4.i686.rpm
    MD5: 256ac07d0621c9950fbc3c8d16bea3df
    SHA-256: c2b2c7018e89f36cee4efe247d9d71d85bbfb63bc570a98aad39aab6b40a3a6e
    Size: 118.36 MB

Asianux Server 4 for x86_64
  1. firefox-68.6.0-1.0.1.AXS4.x86_64.rpm
    MD5: 11639e40ba66a02cc845e22a382ac00b
    SHA-256: a4578f4016432ab64d9a0d8ea6e23634985081ba73715f73eba79e45d3debb4f
    Size: 118.46 MB
  2. firefox-68.6.0-1.0.1.AXS4.i686.rpm
    MD5: 256ac07d0621c9950fbc3c8d16bea3df
    SHA-256: c2b2c7018e89f36cee4efe247d9d71d85bbfb63bc570a98aad39aab6b40a3a6e
    Size: 118.36 MB
Copyright© 2007-2015 Asianux. All rights reserved.