firefox-45.5.0-1.0.1.AXS4

エラータID: AXSA:2016-951:09

リリース日: 
2016/11/18 Friday - 18:06
題名: 
firefox-45.5.0-1.0.1.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
High
Description: 

[修正内容]
以下項目について対処しました。

[Security Fix]
- Firefox にはメモリ安全性のバグが存在し,これらのバグのいくつかは
メモリ破壊を引き起こし,任意のコードを実行する可能性のある脆弱性が
あります。(CVE-2016-5290)

- Firefox には,ディスクから任意のローカルのコンテンツをロードする
ローカルのショートカットファイルで,同一起源ポリシーを迂回する脆弱
性があります。(CVE-2016-5291)

- コンパイラの最適化によって生ずる SVG コンテンツを処理する際に,
Cairo でヒープベースのバッファオーバーフローが存在し,潜在的に
クラッシュを引き起こす脆弱性があります。(CVE-2016-5296)

- Firefox には,引数の長さチェックのエラーにより,潜在的に整数
バッファオーバーフローあるいは他の境界値チェックの問題が生じる
脆弱性があります。(CVE-2016-5297)

- アドオンのアップデートで,署名されたパッケージ内部のアドオンの ID が
アップデートされたアドオンの ID と合っているかの検証に失敗する問題があり
ます。攻撃者が,アップデートサーバへのユーザのコネクション上で中間者攻撃を
行い,証明書ピン留め保護を破り,妥当なアップデートの代わりに不正な署名が
行われたアドオンを提供する脆弱性があります。(CVE-2016-9064)

- Firefox には,大量の内向きのデータを処理する際に,メモリ割り当てのせい
で潜在的にクラッシュさせるバッファオーバーフローの脆弱性があります。
(CVE-2016-9066)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2016-5290
Memory safety bugs were reported in Firefox 49 and Firefox ESR 45.4. Some of these bugs showed evidence of memory corruption and we presume that with enough effort that some of these could be exploited to run arbitrary code. This vulnerability affects Thunderbird < 45.5, Firefox ESR < 45.5, and Firefox < 50.
CVE-2016-5291
A same-origin policy bypass with local shortcut files to load arbitrary local content from disk. This vulnerability affects Thunderbird < 45.5, Firefox ESR < 45.5, and Firefox < 50.
CVE-2016-5296
A heap-buffer-overflow in Cairo when processing SVG content caused by compiler optimization, resulting in a potentially exploitable crash. This vulnerability affects Thunderbird < 45.5, Firefox ESR < 45.5, and Firefox < 50.
CVE-2016-5297
An error in argument length checking in JavaScript, leading to potential integer overflows or other bounds checking issues. This vulnerability affects Thunderbird < 45.5, Firefox ESR < 45.5, and Firefox < 50.
CVE-2016-9064
Add-on updates failed to verify that the add-on ID inside the signed package matched the ID of the add-on being updated. An attacker who could perform a man-in-the-middle attack on the user's connection to the update server and defeat the certificate pinning protection could provide a malicious signed add-on instead of a valid update. This vulnerability affects Firefox ESR < 45.5 and Firefox < 50.
CVE-2016-9066
A buffer overflow resulting in a potentially exploitable crash due to memory allocation issues when handling large amounts of incoming data. This vulnerability affects Thunderbird < 45.5, Firefox ESR < 45.5, and Firefox < 50.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-45.5.0-1.0.1.AXS4.src.rpm
    MD5: 2df0cb95697c536c49489d6def342493
    SHA-256: 4eaefcc58ef1842f5ad2f155649469a313495c7de71c317f4c2dda65e88137db
    Size: 337.50 MB

Asianux Server 4 for x86
  1. firefox-45.5.0-1.0.1.AXS4.i686.rpm
    MD5: 408f88b5080eab28acc865c1380b3d4b
    SHA-256: 6b30b25607ad6b4ae07c820bece946299d607eff64a8c2c93a8f1cef96ab38eb
    Size: 75.06 MB

Asianux Server 4 for x86_64
  1. firefox-45.5.0-1.0.1.AXS4.x86_64.rpm
    MD5: f5593919304c7838c1d9c56444d3808c
    SHA-256: 718d9a1bae8996b82082c9e56764d7ab6a44c152eb0d14c4695b643f99d9b177
    Size: 74.24 MB
  2. firefox-45.5.0-1.0.1.AXS4.i686.rpm
    MD5: 408f88b5080eab28acc865c1380b3d4b
    SHA-256: 6b30b25607ad6b4ae07c820bece946299d607eff64a8c2c93a8f1cef96ab38eb
    Size: 75.06 MB