firefox-45.1.0-1.0.1.el7.AXS7

エラータID: AXSA:2016-221:04

リリース日: 
2016/04/28 Thursday - 18:47
題名: 
firefox-45.1.0-1.0.1.el7.AXS7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Mozilla Firefox のブラウザエンジンには,不明な要因によって,サービ
ス拒否 (メモリ破壊とアプリケーションのクラッシュ) を引き起こす,ある
いは任意のコードを実行する可能性のある 詳細不明な脆弱性があります。
(CVE-2016-2805)

- Mozilla Firefox のブラウザエンジンには,不明な要因によって,リモー
トの攻撃者がサービス拒否 (メモリ破壊とアプリケーションのクラッシュ) を
引き起こす,あるいは任意のコードを実行する可能性のある複数の詳細不明
な脆弱性があります。(CVE-2016-2806)

- Mozilla Firefox のブラウザエンジンには,リモートの攻撃者がサービス
拒否 (メモリ破壊とアプリケーションのクラッシュ) を引き起こす,あるい
は任意のコードを実行する可能性のある複数の詳細不明な脆弱性が存在しま
す。(CVE-2016-2807)

- Mozilla Firefox の JavaScript エンジンの watch 実装には,巧妙に細工
された Web サイトによって,リモートの攻撃者が任意のコードを実行する,
あるいはサービス拒否 (世代カウントのオーバーフロー,境界外への
HashMap 書き込みアクセスとアプリケーションのクラッシュ) を引き起こす
脆弱性があります。(CVE-2016-2808)

- Mozilla Firefox の libstagefright の
stagefright::SampleTable::parseSampleCencInfo 関数には,
ヒープベースのバッファーオーバーフローが存在し,サイズテー
ブルの誤った管理につながる,巧妙に細工された CENC オフセッ
トによって,リモートの攻撃者が任意のコードを実行する可能性
のある脆弱性があります。(CVE-2016-2814)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2016-2805
Unspecified vulnerability in the browser engine in Mozilla Firefox ESR 38.x before 38.8 allows remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via unknown vectors.
CVE-2016-2806
Multiple unspecified vulnerabilities in the browser engine in Mozilla Firefox before 46.0 and Firefox ESR 45.x before 45.1 allow remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via unknown vectors.
CVE-2016-2807
Multiple unspecified vulnerabilities in the browser engine in Mozilla Firefox before 46.0, Firefox ESR 38.x before 38.8, and Firefox ESR 45.x before 45.1 allow remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via unknown vectors.
CVE-2016-2808
The watch implementation in the JavaScript engine in Mozilla Firefox before 46.0, Firefox ESR 38.x before 38.8, and Firefox ESR 45.x before 45.1 allows remote attackers to execute arbitrary code or cause a denial of service (generation-count overflow, out-of-bounds HashMap write access, and application crash) via a crafted web site.
CVE-2016-2814
Heap-based buffer overflow in the stagefright::SampleTable::parseSampleCencInfo function in libstagefright in Mozilla Firefox before 46.0, Firefox ESR 38.x before 38.8, and Firefox ESR 45.x before 45.1 allows remote attackers to execute arbitrary code via crafted CENC offsets that lead to mismanagement of the sizes table.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-45.1.0-1.0.1.el7.AXS7.src.rpm
    MD5: 5750d2535488a465b582f23f6c777daa
    SHA-256: f0ab99cdde64ed429d290b528386e4cd5c3c62fa1f13e8c757ad833c94eaa07e
    Size: 337.05 MB

Asianux Server 7 for x86_64
  1. firefox-45.1.0-1.0.1.el7.AXS7.x86_64.rpm
    MD5: e2ec1936ee236d26c0027fc4d4fc305f
    SHA-256: 5a8d593fcabfb50083f33ce637fadbb7ab8c05beb97ad547f2ddcfc55b6cf633
    Size: 76.44 MB
  2. firefox-45.1.0-1.0.1.el7.AXS7.i686.rpm
    MD5: ae2d1b1c195caa9b3f205a519d712f39
    SHA-256: 8189b94466ef126a19f1e87c1e8041ed7ca43492e20b4dc6c9f731e6906df7a9
    Size: 76.73 MB