AXSA:2018-3370:06

リリース日: 
2018/11/05 Monday - 03:17
題名: 
thunderbird-60.2.1-5.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Tor ブラウザには、firefox が file:// を適切に処理しないことを利用した巧妙な
ウェブサイトを介して、リモートの攻撃者がブラウザの匿名化の機構を迂回し、
クライアントのIPアドレスを特定することを可能とする、TorMoil としても知られる
脆弱性があります。
(CVE-2017-16541)

- Thunderbird と Firefox には、メモリの安全性に関するメモリ破壊などのバグを利用して、
攻撃者が任意のコードの実行を可能とする脆弱性があります。
(CVE-2018-12376)

- Thunderbird とFirefox には、まだ利用中のドライバのタイマが削除され、停止する間に更
新されるといういくつかの条件下において、解放後使用に伴うクラッシュを引き起こすこと
を可能とする脆弱性があります。
(CVE-2018-12377)

- Thunderbird と Firefox には、ペイロードを記憶するためのJavaScript のコードの実行中
に IndexedDB のインデックスが削除されるとき、解放後のメモリにアクセスが可能になる
ことを利用して、攻撃者が悪用可能なクラッシュを引き起こす脆弱性があります。
(CVE-2018-12378)

- Thunderbird と Firefox には、ローカルのシステムにおける手動のMozilla のアップデー
ターが、巧妙に細工されたMARファイルを開くことで領域外メモリへの書き込みを可能とし、
攻撃者が悪用可能なクラッシュを引き起こす脆弱性があります。
(CVE-2018-12379)

- Thunderbird と Firefox には、Firefox58以前に保存した暗号化されていないマスターの
パスワードが削除されないことにより、保存していたパスワードのデータが外部へ漏えい
してしまう脆弱性があります。
(CVE-2018-12383)

- Thunderbird と Firefox には、ローカルキャッシュ、またはローカルにインストールされ
たマルウェアを介して、SSL に用いられるTransportSecurityInfo のクラッシュを引き起こ
す脆弱性があります。
(CVE-2018-12385)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. thunderbird-60.2.1-5.AXS4.src.rpm
    MD5: 4b1fe32680349fe846c0595421bed072
    SHA-256: 2302848825bd76f133c0eacf3254acfb0e5ffaea0fc7ab0879e90f7512765d98
    Size: 439.55 MB

Asianux Server 4 for x86
  1. thunderbird-60.2.1-5.AXS4.i686.rpm
    MD5: 64760f33f7aa6de10660d429e6694b15
    SHA-256: 71e1d86ec3b0c5c5b45d1ce77e9ed50b4d8abfb7e44686dff957badc0823341b
    Size: 97.48 MB

Asianux Server 4 for x86_64
  1. thunderbird-60.2.1-5.AXS4.x86_64.rpm
    MD5: baac2cc1152617c342f117415d208627
    SHA-256: fc6f0d34b576ed303b2fb455a8bacabaee297d52c50f7a72a6e63595a13f5618
    Size: 97.25 MB
Copyright© 2007-2015 Asianux. All rights reserved.