webkit2gtk3-2.40.5-1.el8.ML.1

エラータID: AXSA:2023-7260:19

リリース日: 
2023/12/25 Monday - 12:51
題名: 
webkit2gtk3-2.40.5-1.el8.ML.1
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- WebKitGTK には、メモリ破壊に至る問題があるため、リモート
の攻撃者により、細工された Web コンテンツを介して、任意の
コードの実行を可能とする脆弱性が存在します。
(CVE-2022-32885)

- WebKitGTK には、リモートの攻撃者により、細工された Web
コンテンツを介して、同一オリジンのポリシーの迂回を可能と
する脆弱性が存在します。(CVE-2023-27932)

- WebKitGTK には、リモートの攻撃者により、Web サイトを
介して、ユーザーの機密情報の追跡を可能とする脆弱性が存在
します。(CVE-2023-27954)

- WebKitGTK には、メモリ領域の解放後利用の問題があるため、
リモートの攻撃者により、細工された Web コンテンツを介して、
任意のコードの実行を可能とする脆弱性が存在します。
(CVE-2023-28198)

- WebKitGTK には、検証処理に問題があるため、リモートの
攻撃者により、ワイルドカードを使用してドメインをブロック
する方法によるセキュリティポリシーの迂回を可能とする脆弱性
が存在します。(CVE-2023-32370)

- WebKitGTK には、メモリ破壊に至る問題があるため、リモート
の攻撃者により、細工された Web コンテンツを介して、任意の
コードの実行を可能とする脆弱性が存在します。
(CVE-2023-32393)

- WebKitGTK には、チェック処理の欠陥に起因して過剰にデータ
が出力されてしまう問題があるため、リモートの攻撃者により、
細工された Web コンテンツを介して、情報の漏洩を可能とする
脆弱性が存在します。(CVE-2023-38133)

- WebKitGTK には、チェック処理に問題があるため、リモート
の攻撃者により、Same Origin Policy のバイパスを可能とする
脆弱性が存在します。(CVE-2023-38572)

- WebKitGTK には、リモートの攻撃者により、細工された Web
コンテンツを介して、任意のコードの実行を可能とする脆弱性
が存在します。(CVE-2023-38592)

- WebKitGTK には、チェック処理に問題があるため、リモート
の攻撃者により、細工された Web コンテンツを介して、任意の
コードの実行を可能とする脆弱性が存在します。
(CVE-2023-38594)

- WebKitGTK には、チェック処理に問題があるため、リモート
の攻撃者により、細工された Web コンテンツを介して、任意の
コードの実行を可能とする脆弱性が存在します。
(CVE-2023-38595)

- WebKitGTK には、チェック処理に問題があるため、リモート
の攻撃者により、細工された Web コンテンツを介して、任意の
コードの実行を可能とする脆弱性が存在します。
(CVE-2023-38597)

- WebKitGTK には、ユーザーの個人情報の管理に関する処理に
問題があるため、リモートの攻撃者により、細工された Web
コンテンツを介して、情報の漏洩を可能とする脆弱性が存在
します。(CVE-2023-38599)

- WebKitGTK には、チェック処理に問題があるため、リモート
の攻撃者により、細工された Web コンテンツを介して、任意の
コードの実行を可能とする脆弱性が存在します。
(CVE-2023-38600)

- WebKitGTK には、メモリ破壊に至る問題があるため、リモート
の攻撃者により、細工された Web コンテンツを介して、任意の
コードの実行を可能とする脆弱性が存在します。
(CVE-2023-38611)

- WebKitGTK には、メモリ領域の解放後利用の問題があるため、
リモートの攻撃者により、細工された Web コンテンツを介して、
任意のコードの実行を可能とする脆弱性が存在します。
(CVE-2023-39434)

- WebKitGTK には、チェック処理に問題があるため、リモート
の攻撃者により、任意の JavaScript コードの実行を可能とする
脆弱性が存在します。(CVE-2023-40397)

- WebKitGTK には、iframe のサンドボックスに問題があるため、
JavaScript を実行するリモートの攻撃者により、任意のコード
の実行を可能とする脆弱性が存在します。(CVE-2023-40451)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2022-32885
A memory corruption issue was addressed with improved validation. This issue is fixed in iOS 15.6 and iPadOS 15.6, macOS Monterey 12.5, Safari 15.6. Processing maliciously crafted web content may lead to arbitrary code execution
CVE-2023-27932
This issue was addressed with improved state management. This issue is fixed in macOS Ventura 13.3, Safari 16.4, iOS 16.4 and iPadOS 16.4, tvOS 16.4, watchOS 9.4. Processing maliciously crafted web content may bypass Same Origin Policy.
CVE-2023-27954
The issue was addressed by removing origin information. This issue is fixed in macOS Ventura 13.3, Safari 16.4, iOS 16.4 and iPadOS 16.4, iOS 15.7.4 and iPadOS 15.7.4, tvOS 16.4, watchOS 9.4. A website may be able to track sensitive user information.
CVE-2023-28198
A use-after-free issue was addressed with improved memory management. This issue is fixed in iOS 16.4 and iPadOS 16.4, macOS Ventura 13.3. Processing web content may lead to arbitrary code execution.
CVE-2023-32370
A logic issue was addressed with improved validation. This issue is fixed in macOS Ventura 13.3. Content Security Policy to block domains with wildcards may fail.
CVE-2023-32393
The issue was addressed with improved memory handling. This issue is fixed in watchOS 9.3, tvOS 16.3, macOS Ventura 13.2, iOS 16.3 and iPadOS 16.3. Processing web content may lead to arbitrary code execution.
CVE-2023-38133
The issue was addressed with improved checks. This issue is fixed in iOS 15.7.8 and iPadOS 15.7.8, iOS 16.6 and iPadOS 16.6, tvOS 16.6, macOS Ventura 13.5, Safari 16.6, watchOS 9.6. Processing web content may disclose sensitive information.
CVE-2023-38572
The issue was addressed with improved checks. This issue is fixed in iOS 15.7.8 and iPadOS 15.7.8, iOS 16.6 and iPadOS 16.6, tvOS 16.6, macOS Ventura 13.5, Safari 16.6, watchOS 9.6. A website may be able to bypass Same Origin Policy.
CVE-2023-38592
A logic issue was addressed with improved restrictions. This issue is fixed in iOS 16.6 and iPadOS 16.6, watchOS 9.6, tvOS 16.6, macOS Ventura 13.5. Processing web content may lead to arbitrary code execution.
CVE-2023-38594
The issue was addressed with improved checks. This issue is fixed in iOS 15.7.8 and iPadOS 15.7.8, iOS 16.6 and iPadOS 16.6, tvOS 16.6, macOS Ventura 13.5, Safari 16.6, watchOS 9.6. Processing web content may lead to arbitrary code execution.
CVE-2023-38595
The issue was addressed with improved checks. This issue is fixed in iOS 16.6 and iPadOS 16.6, tvOS 16.6, macOS Ventura 13.5, Safari 16.6, watchOS 9.6. Processing web content may lead to arbitrary code execution.
CVE-2023-38597
The issue was addressed with improved checks. This issue is fixed in iOS 15.7.8 and iPadOS 15.7.8, iOS 16.6 and iPadOS 16.6, macOS Ventura 13.5, Safari 16.6. Processing web content may lead to arbitrary code execution.
CVE-2023-38599
A logic issue was addressed with improved state management. This issue is fixed in Safari 16.6, watchOS 9.6, iOS 15.7.8 and iPadOS 15.7.8, tvOS 16.6, iOS 16.6 and iPadOS 16.6, macOS Ventura 13.5. A website may be able to track sensitive user information.
CVE-2023-38600
The issue was addressed with improved checks. This issue is fixed in iOS 16.6 and iPadOS 16.6, tvOS 16.6, macOS Ventura 13.5, Safari 16.6, watchOS 9.6. Processing web content may lead to arbitrary code execution.
CVE-2023-38611
The issue was addressed with improved memory handling. This issue is fixed in iOS 16.6 and iPadOS 16.6, tvOS 16.6, macOS Ventura 13.5, Safari 16.6, watchOS 9.6. Processing web content may lead to arbitrary code execution.
CVE-2023-39434
A use-after-free issue was addressed with improved memory management. This issue is fixed in iOS 17 and iPadOS 17, watchOS 10, macOS Sonoma 14. Processing web content may lead to arbitrary code execution.
CVE-2023-40397
The issue was addressed with improved checks. This issue is fixed in macOS Ventura 13.5. A remote attacker may be able to cause arbitrary javascript code execution.
CVE-2023-40451
This issue was addressed with improved iframe sandbox enforcement. This issue is fixed in Safari 17. An attacker with JavaScript execution may be able to execute arbitrary code.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. webkit2gtk3-2.40.5-1.el8.ML.1.src.rpm
    MD5: f8dff63aee8f39b9f71cc9fb9a33f708
    SHA-256: 7eee6bf677638a726fc00765347c523efd0aa60c5bf48969065d066e75ac0a82
    Size: 38.25 MB

Asianux Server 8 for x86_64
  1. webkit2gtk3-2.40.5-1.el8.ML.1.i686.rpm
    MD5: f4a5185dfea9411778eb028eceaa0bfd
    SHA-256: f2cc5797e98811f03d0c235a419b5856a294f022de4ebdbbf49a32251e9f6df7
    Size: 26.51 MB
  2. webkit2gtk3-2.40.5-1.el8.ML.1.x86_64.rpm
    MD5: ea0e7eb76910ff4d6bc56a31a626668e
    SHA-256: 07e51537090f0d0c800ced1270d8073c2bbce6fa21921c9d5096bef013681672
    Size: 24.04 MB
  3. webkit2gtk3-devel-2.40.5-1.el8.ML.1.i686.rpm
    MD5: ed9b95b133959cfe3a40aa80a830e2aa
    SHA-256: 9e07ff7030722753f4845adf5416496d72953e5172f40b13e8bcc02dbea2263c
    Size: 300.16 kB
  4. webkit2gtk3-devel-2.40.5-1.el8.ML.1.x86_64.rpm
    MD5: f3302126c6c4a9b8b6806099a47e08e7
    SHA-256: e73184d44fdbe40c4868778de78e252755dfbb11f137dbc887d3eaca3c8a7055
    Size: 296.09 kB
  5. webkit2gtk3-jsc-2.40.5-1.el8.ML.1.i686.rpm
    MD5: b4670452898257c4f03b4694bfe99e9b
    SHA-256: f45c5ef5a4dcbaa118264f6abfc95f1dccc1ca34fd658b067c20358a421ca197
    Size: 4.04 MB
  6. webkit2gtk3-jsc-2.40.5-1.el8.ML.1.x86_64.rpm
    MD5: b279d3691e2456472c9de4dc5cc03bf7
    SHA-256: a268cfcf4bacd4b1065a3338b9a1d6d3b0fe7acb0add8c8ab3d917347535fb39
    Size: 3.65 MB
  7. webkit2gtk3-jsc-devel-2.40.5-1.el8.ML.1.i686.rpm
    MD5: 7c7dac9f69da8cf11c6de00d99429ca2
    SHA-256: be4005844c749aebe2d540fc10e658bcf78dac9d1037ec1991b8daeb656cd9de
    Size: 164.98 kB
  8. webkit2gtk3-jsc-devel-2.40.5-1.el8.ML.1.x86_64.rpm
    MD5: 86a0a7c7a934615c8f9b9c41e3afb01a
    SHA-256: 31b41854911904c87a832d5a27fbda683db3e317ada22de4b8db1951c8577aac
    Size: 154.19 kB