thunderbird-115.8.0-1.el8_9.ML.1

エラータID: AXSA:2024-7565:07

リリース日: 
2024/03/01 Friday - 11:10
題名: 
thunderbird-115.8.0-1.el8_9.ML.1
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefox および Thunderbird には、バッファー長の処理の
不備に起因したメモリ領域の範囲外読み取りの問題がある
ため、リモートの攻撃者により、ネットワークチャネル上
でのデータの保存とアクセスを介して、情報の漏洩などを
可能とする脆弱性が存在します。(CVE-2024-1546)

- Firefox および Thunderbird には、警告ダイアログに別の
Web サイトの URL が表示されてしまう問題があるため、
リモートの攻撃者により、細工された API の呼び出しと
リダイレクトを介して、不正なサイトへの接続の誘導を
可能とする脆弱性が存在します。(CVE-2024-1547)

- Firefox および Thunderbird には、ドロップダウンによる
選択肢の表示によってフルスクリーンモードへの遷移を通知
するダイアログが隠されてしまう問題があるため、リモート
の攻撃者により、利用者の混乱を招き、結果としてなりすまし
攻撃を可能とする脆弱性が存在します。(CVE-2024-1548)

- Firefox および Thunderbird には、サイズの大きいカスタム
マウスカーソルを設定した場合、権限の付与の確認を求める
ダイアログと重なって表示されてしまう問題があるため、
リモートの攻撃者により、利用者を騙して不正な権限を
付与させてしまうことを可能とする脆弱性が存在します。
(CVE-2024-1549)

- Firefox および Thunderbird には、フルスクリーンモードの
終了と requestPointerLock() 関数の実行を組み合わせた場合、
マウスポインタの位置を意図せずに変えてしまう問題がある
ため、リモートの攻撃者により、利用者を騙して不正な権限
を付与させてしまうことを可能とする脆弱性が存在します。
(CVE-2024-1550)

- Firefox および Thunderbird のマルチパート HTTP レスポンス
の解析処理には、Set-Cookie レスポンスヘッダーを誤って
処理してしまう問題があるため、リモートの攻撃者により、
細工された Content-Type レスポンスヘッダーおよび本文を
含む HTTP レスポンスの送信を介して、不正な Cookie の挿入
を可能とする脆弱性が存在します。(CVE-2024-1551)

- 32bit 版の ARM アーキテクチャ向けの Firefox および
Thunderbird には、不正なコードを生成してしまう問題がある
ため、リモートの攻撃者により、予測できない影響を受ける
攻撃を可能とする脆弱性が存在します。(CVE-2024-1552)

- Firefox および Thunderbird には、メモリ破壊の問題がある
ため、リモートの攻撃者により、任意のコードの実行を可能
とする脆弱性が存在します。(CVE-2024-1553)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. thunderbird-115.8.0-1.el8_9.ML.1.src.rpm
    MD5: 0dd4146fa96e5b271b98895fd8cd3bbd
    SHA-256: 83ee86caa6694c9fe0f3bba7beb30f7f6990e5ecbae0b05d6b0eb57bd7218a4c
    Size: 705.76 MB

Asianux Server 8 for x86_64
  1. thunderbird-115.8.0-1.el8_9.ML.1.x86_64.rpm
    MD5: 543dde9f6a58e6b4dc5abc83ab43ad83
    SHA-256: 8a571a45c7946830bb43a634750646a24ae7ceb54c76a0139d6e849f1c39b5dc
    Size: 110.80 MB