firefox-38.0-4.0.1.AXS4

エラータID: AXSA:2015-141:04

リリース日: 
2015/05/19 Tuesday - 12:44
題名: 
firefox-38.0-4.0.1.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Mozilla Firefox で使用されている Gstreamer には,m4v ファイル内の巧妙に細工された H.264 ビデオデータによって,リモートの攻撃者がサービス拒否 (バッファーオーバーリードとアプリケーションのクラッシュ) を引き起こす脆弱性があります。(CVE-2015-0797)

- Mozilla Firefox のブラウザエンジンには,詳細不明な要因によって,リモートの攻撃者がサービス拒否 (メモリ破壊とアプリケーションのクラッシュ) を引き起こす,あるいは任意のコードを実行する可能性のある詳細不明な複数の脆弱性があります。(CVE-2015-2708)

- Mozilla Firefox の SVGTextFrame クラスには,ヒープベースのバッファーオーバーフローが存在し, 巧妙に細工された CSS トークンシーケンスと巧妙に細工された SVG グラフィックスデータによって, リモートの攻撃者が任意のコードを実行する脆弱性があります。(CVE-2015-2710)

- Mozilla Firefox の SetBreaks 関数には, 解放後使用の脆弱性が存在し,縦書きテキストに関連したプロパティを含む CSS トークンシーケンスと巧妙に細工されたテキストを含むドキュメントによって,リモートの攻撃者が任意のコードを実行する,あるいはサービス拒否を引き起こす脆弱性があります。(CVE-2015-2713)

- Mozilla Firefox の XML パーサにバッファーオーバーフローが存在し,大量の圧縮された XML データを与えることによって,リモートの攻撃者が任意のコードを実行する脆弱性があります。(CVE-2015-2716)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2015-0797
GStreamer before 1.4.5, as used in Mozilla Firefox before 38.0, Firefox ESR 31.x before 31.7, and Thunderbird before 31.7 on Linux, allows remote attackers to cause a denial of service (buffer over-read and application crash) or possibly execute arbitrary code via crafted H.264 video data in an m4v file.
CVE-2015-2708
Multiple unspecified vulnerabilities in the browser engine in Mozilla Firefox before 38.0, Firefox ESR 31.x before 31.7, and Thunderbird before 31.7 allow remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via unknown vectors.
CVE-2015-2710
Heap-based buffer overflow in the SVGTextFrame class in Mozilla Firefox before 38.0, Firefox ESR 31.x before 31.7, and Thunderbird before 31.7 allows remote attackers to execute arbitrary code via crafted SVG graphics data in conjunction with a crafted Cascading Style Sheets (CSS) token sequence.
CVE-2015-2713
Use-after-free vulnerability in the SetBreaks function in Mozilla Firefox before 38.0, Firefox ESR 31.x before 31.7, and Thunderbird before 31.7 allows remote attackers to execute arbitrary code or cause a denial of service (heap memory corruption) via a document containing crafted text in conjunction with a Cascading Style Sheets (CSS) token sequence containing properties related to vertical text.
CVE-2015-2716
Buffer overflow in the XML parser in Mozilla Firefox before 38.0, Firefox ESR 31.x before 31.7, and Thunderbird before 31.7 allows remote attackers to execute arbitrary code by providing a large amount of compressed XML data, a related issue to CVE-2015-1283.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-38.0-4.0.1.AXS4.src.rpm
    MD5: f69f83f740940a5143c30707da0d8386
    SHA-256: d837e908c78a4f4dbf27cfc5e367d191131283a9ab95f5bd5da7c9105c49aa01
    Size: 319.01 MB

Asianux Server 4 for x86
  1. firefox-38.0-4.0.1.AXS4.i686.rpm
    MD5: e576815dfe62645f477ec71ae9f32ec4
    SHA-256: e6e63a1656acf1f050438347cfa52b87e642f31031b1d800b1756b0f1e1f4383
    Size: 70.31 MB

Asianux Server 4 for x86_64
  1. firefox-38.0-4.0.1.AXS4.x86_64.rpm
    MD5: 7070512068dc2f1060b28e6165079b1e
    SHA-256: 5ddb29c18108ac422dc95435bf555e8335c6e8c0b5689b86f80e8e4dcabd8685
    Size: 69.60 MB
  2. firefox-38.0-4.0.1.AXS4.i686.rpm
    MD5: e576815dfe62645f477ec71ae9f32ec4
    SHA-256: e6e63a1656acf1f050438347cfa52b87e642f31031b1d800b1756b0f1e1f4383
    Size: 70.31 MB