firefox-115.12.0-1.0.1.el7.AXS7

エラータID: AXSA:2024-8407:20

リリース日: 
2024/06/20 Thursday - 14:39
題名: 
firefox-115.12.0-1.0.1.el7.AXS7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefox のオブジェクトのガベージコレクション機能には、
オブジェクトの移動処理における解放後利用の問題があるため、
リモートの攻撃者により、データ破壊、情報の漏洩、および
サービス拒否攻撃などを可能とする脆弱性が存在します。
(CVE-2024-5688)

- Firefox には、特定の操作に要する時間の測定からユーザー
の環境で稼働している外部プロトコルハンドラーを推測できて
しまう問題があるため、リモートの攻撃者により、情報の漏洩
などを可能とする脆弱性が存在します。(CVE-2024-5690)

- Firefox には、サンドボックス化された iframe の制限の迂回
を許容してしまう問題があるため、リモートの攻撃者により、
"X-Frame-Options" ヘッダーを含むように細工されたコンテンツ
の処理を介して、ユーザーのクリック操作によって本来表示
できない「新しいウィンドウを開く」ボタンの表示を可能とする
脆弱性が存在します。(CVE-2024-5691)

- Firefox のオフスクリーンキャンバスには、オリジン間の保護
ポリシーの処理に問題があるため、リモートの攻撃者により、
オリジンポリシーを迂回し、他のサイトの画像データへの
アクセスを可能とする脆弱性が存在します。(CVE-2024-5693)

- Firefox には、メモリ破壊の問題があるため、リモートの攻撃者
により、"<input>" タグを含むように細工されたコンテンツの
処理を介して、サービス拒否攻撃 (クラッシュの発生) を可能
とする脆弱性が存在します。(CVE-2024-5696)

- Firefox および Thunderbird には、メモリ破壊の問題がある
ため、リモートの攻撃者により、任意のコードの実行を可能
とする脆弱性が存在します。(CVE-2024-5700)

- Firefox には、ネットワークスタックにメモリ破壊を起こす問題
があるため、リモートの攻撃者により、潜在的にクラッシュ
させることを可能とする脆弱性が存在します。(CVE-2024-5702)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2024-5688
If a garbage collection was triggered at the right time, a use-after-free could have occurred during object transplant. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12.
CVE-2024-5690
By monitoring the time certain operations take, an attacker could have guessed which external protocol handlers were functional on a user's system. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12.
CVE-2024-5691
By tricking the browser with a `X-Frame-Options` header, a sandboxed iframe could have presented a button that, if clicked by a user, would bypass restrictions to open a new window. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12.
CVE-2024-5693
Offscreen Canvas did not properly track cross-origin tainting, which could be used to access image data from another site in violation of same-origin policy. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12.
CVE-2024-5696
By manipulating the text in an `<input>` tag, an attacker could have caused corrupt memory leading to a potentially exploitable crash. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12.
CVE-2024-5700
Memory safety bugs present in Firefox 126, Firefox ESR 115.11, and Thunderbird 115.11. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12.
CVE-2024-5702
Memory corruption in the networking stack could have led to a potentially exploitable crash. This vulnerability affects Firefox < 125, Firefox ESR < 115.12, and Thunderbird < 115.12.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-115.12.0-1.0.1.el7.AXS7.src.rpm
    MD5: 1bab2c62994194bb138f723a60159a89
    SHA-256: 9065d75bcbf84a980fc9003c5e91ef79db0880126288849d6c9062c348a6d337
    Size: 705.20 MB

Asianux Server 7 for x86_64
  1. firefox-115.12.0-1.0.1.el7.AXS7.i686.rpm
    MD5: 5dc41299405d776dc01bea1d5a0a2598
    SHA-256: 3776ab6b92fbd712de3d5d4feff08184e74918d49d41669f0aec182bdecdd312
    Size: 119.79 MB
  2. firefox-115.12.0-1.0.1.el7.AXS7.x86_64.rpm
    MD5: 1f9f58a1bcf96d374ec1c3eb78144470
    SHA-256: b5afef5968987133f646c7ad22a6ba57e27ee45cbc125ee22dbe67ed99678f12
    Size: 116.09 MB