AXSA:2021-1575:07

リリース日: 
2021/03/11 Thursday - 07:03
題名: 
firefox-78.8.0-1.0.1.el8
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefoxには、リモートの攻撃者が巧妙に細工されたHTMLページを通じて、
プロセスメモリから情報を入手できるかもしれない脆弱性があります。(CVE-2020-16042)

- Firefoxには、リモートの攻撃者が加工したSCTPパケットにより、
WebRTCに開放後メモリを使用し、ヒープ領域の破壊ができる脆弱性があります。
(CVE-2020-16044)

- Firefox には、特定の状況下で想定外の MCallGetProperty
のオペコードが送られるため、悪用可能な use-after-free の状況に
陥る脆弱性があります。(CVE-2020-26950)

- Firefoxには、ユーザーによる誤った制約を受けた特定のブリット値が、
いくつかのビデオドライバでヒープバッファーオーバーフローを引き起こす脆弱性
があります。(CVE-2020-26971)

- Firefoxには、CSSサニタイザーへの特定の入力により、誤ったコンポーネントを削除し、
これによってサニタイザーをバイパスできたかもしれない脆弱性があります。(CVE-2020-26973)

- Firefoxには、flex-basisがテーブルのラッパーに使われたときに、
StyleGenericFlexBasisオブジェクトが誤った型へキャストされ、ヒープ領域
での解放後使用の問題が発生するために、メモリ破壊やクラッシュを起こすかも
しれない可能性があります。(CVE-2020-26974)

- Firefoxには HTTP ページに HTTPS のページが埋め込まれ、HTTP ページに
サービスワーカーが登録されている場合、HTTPページの iframe はセキュア
でないフレーミングのため、セキュアなコンテキストではないにもかかわらず、
サービスワーカーがセキュアなページのリクエストを横取りしてしまう脆弱性が
あります。(CVE-2020-26976)

- Firefoxには、悪意のあるウェブページが、ローカルマシン上にある、
内部ネットワークのホストを公開できる脆弱性があります。(CVE-2020-26978)

- Firefoxには、ユーザーが view-source の URL を開くと、
意図せずに IP アドレスが流出してしまう脆弱性があります。(CVE-2020-35111)

- Firefox には、メモリ内のデータ破壊の問題があり、任意のコード
実行に悪用される可能性のある脆弱性があります。(CVE-2020-35113)

- Firefoxには、クロスオリジンの情報がひとかたまりで提供されている場合、
ユーザーが巧妙に細工されたPDFをクリックすると、PDFリーダーが
クロスオリジンの情報を漏洩してしまう脆弱性があります。(CVE-2021-23953)

- Firefoxには、JavaScriptのswitch文で新しい論理代入演算子を
使うことにより、型の取り違えが発生し、メモリ内のデータの破壊や、
クラッシュを引き起こすかもしれない脆弱性があります。(CVE-2021-23954)

- Firefoxには、JavaScriptの変数を再定義する際のガベージコレクション
の動作により、解放後メモリ使用や、クラッシュを引き起こすかもしれない脆弱性があります。
(CVE-2021-23960)

- Firefox には、メモリ内のデータ破壊の問題があり、任意のコード実行に
悪用される可能性のある脆弱性があります。(CVE-2020-26964)

- Firefox には、メモリ内のデータが破壊される問題があり、任意のコード
実行に悪用される可能性のある脆弱性があります。(CVE-2020-26968)

- Firefox には、W3C の Content Security Policy ドラフトに
違反して、レポートを作成するとき、ソースファイルにリダイレクト先を
設定してしまう脆弱性があります。(CVE-2021-23969)

- Firefoxには、audio/videoコンテキストの中のクロスオリジンリソースを
読み込むことを試み、デコードエラーが返ってきた時、エラーがリソースに関する情報を
含んでしまう脆弱性があります。(CVE-2021-23973)

- Firefoxには、メモリの安全性に関するバグがあり、
メモリ内データの破壊から任意コード実行につながる脆弱性があります。
(CVE-2021-23978)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-78.8.0-1.0.1.el8.src.rpm
    MD5: 019cfa298dd1d4e6cff262e77edf2c21
    SHA-256: 48b116b4d831f5827372465d2e278879abaf171b87773b4da5f82ba8a43f58c9
    Size: 670.99 MB

Asianux Server 8 for x86_64
  1. firefox-78.8.0-1.0.1.el8.x86_64.rpm
    MD5: 084b5fb408f23432a9118816cf2c5f2c
    SHA-256: 53ca2eec70569ce35195cfbd688650ed9631c60ae51833540a599f37107a957f
    Size: 101.69 MB
Copyright© 2007-2015 Asianux. All rights reserved.