AXSA:2018-3377:08

リリース日: 
2018/11/05 Monday - 07:20
題名: 
firefox-60.3.0-1.0.1.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefox にはメモリ安全性のバグが存在し,攻撃者がメモリ破壊を行い,
任意のコードを実行する脆弱性があります。(CVE-2018-12389), (CVE-2018-12390)

- Fireox には,スクリプトを通してドキュメントを開く際に,ネストしたルー
プの中のユーザイベントを処理すると,イベント処理が貧弱なために,クラッシュを
引き起こす可能性のある脆弱性があります。(CVE-2018-12392)

- Firefox の 32-bit 版のビルドで,内部の UTF-16 表現へ渡すスクリプト
の変換中に,整数オーバーフローが生じ,変換するには小さすぎるバッファを
割り当ててしまい,境界外への書き込みを引き起こす脆弱性があります。
(CVE-2018-12393)

- firefox には,webRequest API を用いて Host:request ヘッダを書き換える際に,
WebExtension が Domain fronting を通して,ドメインの制限を迂回する
脆弱性があります。(CVE-2018-12395)

- firefox には許可されないコンテクストで WebExtension がコンテントスクリプトを
実行できる問題が存在し,コンテントスクリプトが実行されるべきではない場合に
サイト上の WebExtension によって,権限昇格の可能性がある脆弱性があります。
(CVE-2018-12396)

- Firefox には,ローカルのファイルが開いている場合,権限についての警告な
しに,ローカルのページのコンテンツスクリプトを実行する脆弱性があります。
(CVE-2018-12397)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
1. firefox-60.3.0-1.0.1.AXS4.src.rpm
md5sum: b69e5e146422aab064398cb6c1b598b0
sha256sum: 9d3eb6f5409ec2c70259d66bd537489dc82e4459fe40edf17f63aa509fba6c6f
Size: 426,092 Kb

Asianux Server 4.0 for x86_64
1. firefox-60.3.0-1.0.1.AXS4.x86_64.rpm
md5sum: 98f892087ba09a3760244d97ff13eb34
sha256sum: 89ed430daa156c2391e87632ba6c1e49df2f476855d566a58ac7aa2ee153c1b3
Size: 117,525 Kb
2. firefox-60.3.0-1.0.1.AXS4.i686.rpm
md5sum: 1c9796cce14561031a4dee70ea512198
sha256sum: b5ddc24c279fc37381b0a6fef90880ca60dc68e19847cde570c732638e781e64
Size: 117,333 Kb

Asianux Server 4.0 for x86
1. firefox-60.3.0-1.0.1.AXS4.i686.rpm
md5sum: 1c9796cce14561031a4dee70ea512198
sha256sum: b5ddc24c279fc37381b0a6fef90880ca60dc68e19847cde570c732638e781e64
Size: 117,333 Kb
Copyright© 2007-2015 Asianux. All rights reserved.