AXSA:2018-3370:06

リリース日: 
2018/11/05 Monday - 03:17
題名: 
thunderbird-60.2.1-5.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Tor ブラウザには、firefox が file:// を適切に処理しないことを利用した巧妙な
ウェブサイトを介して、リモートの攻撃者がブラウザの匿名化の機構を迂回し、
クライアントのIPアドレスを特定することを可能とする、TorMoil としても知られる
脆弱性があります。
(CVE-2017-16541)

- Thunderbird と Firefox には、メモリの安全性に関するメモリ破壊などのバグを利用して、
攻撃者が任意のコードの実行を可能とする脆弱性があります。
(CVE-2018-12376)

- Thunderbird とFirefox には、まだ利用中のドライバのタイマが削除され、停止する間に更
新されるといういくつかの条件下において、解放後使用に伴うクラッシュを引き起こすこと
を可能とする脆弱性があります。
(CVE-2018-12377)

- Thunderbird と Firefox には、ペイロードを記憶するためのJavaScript のコードの実行中
に IndexedDB のインデックスが削除されるとき、解放後のメモリにアクセスが可能になる
ことを利用して、攻撃者が悪用可能なクラッシュを引き起こす脆弱性があります。
(CVE-2018-12378)

- Thunderbird と Firefox には、ローカルのシステムにおける手動のMozilla のアップデー
ターが、巧妙に細工されたMARファイルを開くことで領域外メモリへの書き込みを可能とし、
攻撃者が悪用可能なクラッシュを引き起こす脆弱性があります。
(CVE-2018-12379)

- Thunderbird と Firefox には、Firefox58以前に保存した暗号化されていないマスターの
パスワードが削除されないことにより、保存していたパスワードのデータが外部へ漏えい
してしまう脆弱性があります。
(CVE-2018-12383)

- Thunderbird と Firefox には、ローカルキャッシュ、またはローカルにインストールされ
たマルウェアを介して、SSL に用いられるTransportSecurityInfo のクラッシュを引き起こ
す脆弱性があります。
(CVE-2018-12385)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
1. thunderbird-60.2.1-5.AXS4.src.rpm
md5sum: 4b1fe32680349fe846c0595421bed072
sha256sum: 2302848825bd76f133c0eacf3254acfb0e5ffaea0fc7ab0879e90f7512765d98
Size: 450,102 Kb

Asianux Server 4.0 for x86_64
1. thunderbird-60.2.1-5.AXS4.x86_64.rpm
md5sum: baac2cc1152617c342f117415d208627
sha256sum: fc6f0d34b576ed303b2fb455a8bacabaee297d52c50f7a72a6e63595a13f5618
Size: 99,583 Kb

Asianux Server 4.0 for x86
1. thunderbird-60.2.1-5.AXS4.i686.rpm
md5sum: 64760f33f7aa6de10660d429e6694b15
sha256sum: 71e1d86ec3b0c5c5b45d1ce77e9ed50b4d8abfb7e44686dff957badc0823341b
Size: 99,819 Kb
Copyright© 2007-2015 Asianux. All rights reserved.