firefox-3.6.23-2.0.1.AXS3, xulrunner-1.9.2.23-1.0.1.AXS3

エラータID: AXSA:2011-322:07

リリース日: 
2011/10/14 Friday - 14:10
題名: 
firefox-3.6.23-2.0.1.AXS3, xulrunner-1.9.2.23-1.0.1.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86_64
Asianux Server 3 for x86
Severity: 
High
Description: 

以下項目について対処しました。<br />
<br />
[Security Fix]<br />
- 複数の Mozilla 製品は、Enter キーの押し続けに応答したダウンロードの開始を制限しないため、アクセス制限を回避される脆弱性が存在します。 (CVE-2011-2372)<br />
<br />
- 複数の Mozilla 製品には、サービス運用妨害 (メモリ破損およびアプリケーションクラッシュ) 状態となる、または任意のコードを実行される脆弱性が存在します。<br />
(CVE-2011-2995)<br />
<br />
- Mozilla Firefox には、サービス運用妨害 (アプリケーションクラッシュ) 状態となる、または任意のコードを実行される脆弱性が存在します。 (CVE-2011-2998 )<br />
<br />
- 複数の Mozilla 製品は、location をフレームの名前として適切に処理しないため、同一生成元ポリシー (Same origin policy) を回避される脆弱性が存在します。<br />
本脆弱性は、CVE-2010-0170 とは異なる脆弱性です。 (CVE-2011-2999)<br />
<br />
- 複数の Mozilla 製品は、複数の Location、Content-Length、または Content-Disposition ヘッダを含む HTTP レスポンスを適切に処理しないため、HTTP レスポンス分割攻撃を誘発する脆弱性が存在します。 (CVE-2011-3000)<br />
<br />
一部CVEの翻訳文はJVNからの引用になります。<br />
http://jvndb.jvn.jp/

解決策: 

firefox-3.6.23-2.0.1.AXS3, xulrunner-1.9.2.23-1.0.1.AXS3 を共にアップデートしてください。

CVE: 
CVE-2011-2372
Mozilla Firefox before 3.6.23 and 4.x through 6, Thunderbird before 7.0, and SeaMonkey before 2.4 do not prevent the starting of a download in response to the holding of the Enter key, which allows user-assisted remote attackers to bypass intended access restrictions via a crafted web site.
CVE-2011-2995
Multiple unspecified vulnerabilities in the browser engine in Mozilla Firefox before 3.6.23 and 4.x through 6, Thunderbird before 7.0, and SeaMonkey before 2.4 allow remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via unknown vectors.
CVE-2011-2998
Integer underflow in Mozilla Firefox 3.6.x before 3.6.23 allows remote attackers to cause a denial of service (application crash) or possibly execute arbitrary code via JavaScript code containing a large RegExp expression.
CVE-2011-2999
Mozilla Firefox before 3.6.23 and 4.x through 5, Thunderbird before 6.0, and SeaMonkey before 2.3 do not properly handle "location" as the name of a frame, which allows remote attackers to bypass the Same Origin Policy via a crafted web site, a different vulnerability than CVE-2010-0170.
CVE-2011-3000
Mozilla Firefox before 3.6.23 and 4.x through 6, Thunderbird before 7.0, and SeaMonkey before 2.4 do not properly handle HTTP responses that contain multiple Location, Content-Length, or Content-Disposition headers, which makes it easier for remote attackers to conduct HTTP response splitting attacks via crafted header values.
追加情報: 

N/A

ダウンロード: 

Asianux Server 3 for x86
  1. firefox-3.6.23-2.0.1.AXS3.i386.rpm
    MD5: 3b41556846a58f7f617d826d898cc501
    SHA-256: 6e3fbe5b7b789f7a09f27613fa5fa714bb7874df50dc05bceb0bb24848ac3e93
    Size: 14.66 MB
  2. xulrunner-1.9.2.23-1.0.1.AXS3.i386.rpm
    MD5: b3c6d141d970efbb5e11a1c0aa6040b2
    SHA-256: 02c9773dd3fe4b1d244b4d58ee7d7840a1072e9e5bfd80d364e198b5753428bd
    Size: 11.65 MB

Asianux Server 3 for x86_64
  1. firefox-3.6.23-2.0.1.AXS3.x86_64.rpm
    MD5: ae375a0a9acf4e0901e3afa0861c4058
    SHA-256: dae396ef14af225c608d891b1d6ad0ddbf83b4433ea6d3d26693761444e42299
    Size: 14.65 MB
  2. xulrunner-1.9.2.23-1.0.1.AXS3.x86_64.rpm
    MD5: 6762952dbe903c56eeeb75b906e866bb
    SHA-256: e08aab6dd29663e138f123800b7de638335914d40cc7f72dcf7a80038975ef2c
    Size: 11.08 MB