[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:46450] [Translate] [SECURITY] [DSA 1044-1] New Mozilla Firefox packages fix several vulnerabilities



かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- --------------------------------------------------------------------------
Debian Security Advisory DSA 1044-1                    security@debian.org
http://www.debian.org/security/                             Martin Schulze
April 26th, 2006                        http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package        : mozilla-firefox
Vulnerability  : 複数
Problem type   : リモート
Debian-specific: いいえ
CVE IDs        : CVE-2006-0293 CVE-2006-0292 CVE-2005-4134 CVE-2006-0296 CVE-2006-1741
                 CVE-2006-1742 CVE-2006-1737 CVE-2006-1738 CVE-2006-1739 CVE-2006-1790
                 CVE-2006-1740 CVE-2006-1736 CVE-2006-1735 CVE-2006-1734 CVE-2006-1733
                 CVE-2006-1732 CVE-2006-0749 CVE-2006-1731 CVE-2006-1730 CVE-2006-1729
                 CVE-2006-1728 CVE-2006-1727 CVE-2006-0748
CERT advisories: VU#179014 VU#252324 VU#329500 VU#488774 VU#492382 VU#592425 VU#736934
                 VU#813230 VU#842094 VU#932734 VU#935556
BugTraq IDs    : 15773 16476 17516
Debian Bugs    : 363935 362656

複数の欠陥が Mozilla Firefox に発見されました。The Common Vulnerabilities
and Exposures project では以下の問題を認識しています。

CVE-2005-4134

    極端に長いタイトルの指定がされたウェブページにより、ブラウザが数分「ハ
    ングアップ」しているように見えたり、さらにマシンに十分なメモリがない場
    合クラッシュする場合があります。[MFSA-2006-03]

CVE-2006-0292

    Javascript インタープリタで正しくオブジェクト参照値の読み出しを行って
    いないため、リモートの攻撃者からサービス拒否攻撃や、任意コードの実行を
    引き起こせます。[MFSA-2006-01]

CVE-2006-0293

    関数のアロケーションコードに欠陥があり、サービス拒否攻撃や、任意コード
    の実行を引き起こせます。 [MFSA-2006-01]

CVE-2006-0296

    XULDocument.persist() が属性名の検証を行っていないため、攻撃者が任意の
    XML や JavaScript コードを、起動時に実行される localstore.rdf ファイル
    に注入可能です。 [MFSA-2006-05]

CVE-2006-0748

    TippingPoint および the Zero Day Initiative の匿名の研究者により、不正
    で無意味なテーブルタグの並びにより、任意コードの実行が可能であるとの報
    告がありました。[MFSA-2006-27]

CVE-2006-0749

    特殊な HTML タグの並びを用いてメモリ破壊を引き起こすことができ、それに
    より任意コードの実行が可能です。[MFSA-2006-18]

CVE-2006-1727

    Georgi Guninski さんにより、ページを "Print Preview" で見ている場合に
    XBL コントロール中のスクリプトを用いて chrome 権限を奪う攻撃手法が二種
    類報告されました。[MFSA-2006-25]

CVE-2006-1728

    "shutdown" さんにより crypto.generateCRMFRequest メソッドによりブラウ
    ザを実行中のユーザ権限で任意のコードの実行が可能であることが発見されま
    した。この欠陥はマルウェアのインストールなどに悪用可能です。
    [MFSA-2006-24]

CVE-2006-1729

    Claus Jørgensen さんにより、テキスト入力ボックスにあらかじめフ
    ァイル名を仕込んでおき、ファイルアップロード制御に投入することができる
    ため、悪意を持ったウェブサイトから名称の推定可能な任意のファイルの読み
    出しが出来ることが報告されました。[MFSA-2006-23]

CVE-2006-1730

    TippingPoint および the Zero Day Initiative の匿名の研究者により、CSS
    の文字間隔プロパティを用いて整数オーバフローを引き起こすことができるこ
    とが発見されました。この欠陥を攻撃することにより、任意のコードの実行が
    可能です。[MFSA-2006-22]

CVE-2006-1731

    "moz_bug_r_a4" さんにより、一部の内部関数がオブジェクトではなくプロト
    タイプを返すため、リモートの攻撃者がクロスサイトスクリプティング攻撃を
    実行可能です。 [MFSA-2006-19]

CVE-2006-1732

    "shutdown" さんにより、同じサイトから来たことをチェックする保護の迂回
    が可能であることが発見されました。この欠陥を攻撃することにより、他のサ
    イトの内容に対してスクリプトの注入が可能であり、悪意を持ったページから
    他サイトのクッキーやパスワードなどの情報を盗み取ったり、ユーザがログイ
    ン中にユーザ権限でトランザクションを実行したりすることが可能です。
    [MFSA-2006-17]

CVE-2006-1733

    "moz_bug_r_a4" さんにより、XBL の特権組み込みバインディングのコンパイ
    ル時のスコープが、ウェブコンテンツから完全に守られておらず、任意の
    JavaScript の実行に悪用可能であることが発見されました。これはウイルス
    やパスワードスニファなどのマルウェアのインストールに利用可能です。
    [MFSA-2006-16]

CVE-2006-1734

    "shutdown" さんにより、内部の関数オブジェクトに対してアクセスができるこ
    とが発見されました。この欠陥を攻撃することにより、任意の JavaScript コー
    ドを、ブラウザを実行中のユーザの全権限を使って実行可能です。これはスパイ
    ウェアやウイルスのインストールに利用可能です。[MFSA-2006-15]

CVE-2006-1735

    不正な特権を持つようコンパイルされた JavaScript 関数の作成が可能であるた
    め、攻撃者からブラウザを実行中のユーザの全権限を使ったコードの実行が可能
    です。これはスパイウェアやウイルスのインストールに利用可能です。
    [MFSA-2006-14]

CVE-2006-1736

    ユーザに、画像に実行形式を指す透明な画像イメージリンクを被せることにより、
    実行ファイルをダウンロード、保存させることが可能です。[MFSA-2006-13]

CVE-2006-1737

    大きな正規表現を用いた JavaScript により整数オーバフローを引き起こすこと
    ができ、リモートの攻撃者からサービス拒否攻撃や、任意コードの実行を引き起
    こせます。 [MFSA-2006-11]

CVE-2006-1738

    リモートの攻撃者がサービス拒否攻撃を引き起こせる、非公開の欠陥が存在しま
    す。[MFSA-2006-11]

CVE-2006-1739

    特殊な形式のカスケーディングスタイルシート (CSS) により、配列の範囲外の
    書き込みによるバッファオーバフローを引き起こし、サービス拒否攻撃や任意コ
    ードの実行を行うことが可能です。[MFSA-2006-11]

CVE-2006-1740

    リモートの攻撃者から、鍵アイコンなどのセキュアなサイト識別子の詐称が、一
    度ポップアップウィンドウに信頼されたサイトを開き、つぎに悪意を持ったサイ
    トに移動することにより可能です。[MFSA-2006-12]

CVE-2006-1741

    "shutdown" さんにより、新規ページのロード中にモーダルアラートダイアログ
    を用いてイベントハンドラを止めることにより、他のサイトのページに任意の
    JavaScript コードを注入可能であることが発見されました。この欠陥は機密情
    報の奪取に利用可能です。[MFSA-2006-09]

CVE-2006-1742

    Igor Bukanov さんにより、JavaScript エンジンが一時変数を正しく扱っていな
    いため、リモートの攻撃者が解放後のメモリを操作してメモリ破壊を引き起こす
    ことが可能です。 [MFSA-2006-10]

CVE-2006-1790

    欠陥の修正により、リモートの攻撃者からメモリ破壊を起こしてサービス拒否
    攻撃や、任意のコードの実行の恐れがある欠陥が作り込まれていました。
    [MFSA-2006-11]

安定版  (stable) ディストリビューション (sarge) では、この問題はバージョン
1.0.4-2sarge6 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョ
ン 1.5.dfsg+1.5.0.2-2 で修正されています。

直ぐに mozilla-firefox パッケージをアップグレードすることを勧めます。


アップグレード手順
- --------------------

wget url
        	でファイルを取得できます。
dpkg -i file.deb
                で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 3.1 愛称 sarge
- --------------------------------

    ソースアーカイブ:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge6.dsc
      Size/MD5 checksum:     1001 09c185f1a695fd7b01494c7612e123bf
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge6.diff.gz
      Size/MD5 checksum:   381739 0582bbb1766855b1e82c25a39109480a
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4.orig.tar.gz
      Size/MD5 checksum: 40212297 8e4ba81ad02c7986446d4e54e978409d

  Alpha architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge6_alpha.deb
      Size/MD5 checksum: 11171196 55e56e5a9306f5ea4d1508140836c042
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge6_alpha.deb
      Size/MD5 checksum:   168162 9c4d068815e6e6239970f3b248456622
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge6_alpha.deb
      Size/MD5 checksum:    60002 532591335d84fc3f28e8c91f829a33c5

  AMD64 architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge6_amd64.deb
      Size/MD5 checksum:  9400894 d9033861dc839d0a763928271efb566d
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge6_amd64.deb
      Size/MD5 checksum:   162910 5dc9795fae9b8f6d2cc3cb790c6250e5
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge6_amd64.deb
      Size/MD5 checksum:    58514 c7964d89cec3da753c6a553e6695416a

  ARM architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge6_arm.deb
      Size/MD5 checksum:  8220344 30407a08ed75456e59317304f9f4f4cd
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge6_arm.deb
      Size/MD5 checksum:   154376 f298104e766dfc1f7ead3a82ca766093
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge6_arm.deb
      Size/MD5 checksum:    53836 1e0d26b5767112085ceaf3bb1a5e3167

  Intel IA-32 architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge6_i386.deb
      Size/MD5 checksum:  8896526 b7a91a72476842c9b6798fceb791c20c
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge6_i386.deb
      Size/MD5 checksum:   158156 27b8ea4761567e6e71cb0f888995dc1c
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge6_i386.deb
      Size/MD5 checksum:    55380 88fe805a1c81b705d8146c3c11ba0540

  Intel IA-64 architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge6_ia64.deb
      Size/MD5 checksum: 11628466 f42dffd9e863f7a373f14b0b7276239e
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge6_ia64.deb
      Size/MD5 checksum:   168490 ad2f05cc5e1b32113eb27b02623ab8d2
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge6_ia64.deb
      Size/MD5 checksum:    63188 cd0e85bb099ffebfa50cfa5db021a09b

  HP Precision architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge6_hppa.deb
      Size/MD5 checksum: 10272698 4465e59426f88dcfedbb8b46d9e9300a
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge6_hppa.deb
      Size/MD5 checksum:   165896 c58e73ec5b355a1848abeb60d643601c
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge6_hppa.deb
      Size/MD5 checksum:    58982 5366dbfa5e4fc8f1026c7a1c6ab107a5

  Motorola 680x0 architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge6_m68k.deb
      Size/MD5 checksum:  8171168 d7d08da028982a426d22eff0e2c3a19b
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge6_m68k.deb
      Size/MD5 checksum:   156990 44a55bef9f1b6788872460a887b2695d
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge6_m68k.deb
      Size/MD5 checksum:    54640 5b6b926264762bbd495369286ee781ee

  Big endian MIPS architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge6_mips.deb
      Size/MD5 checksum:  9927634 b0e37e95b1e41733b23e3f73b9c72405
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge6_mips.deb
      Size/MD5 checksum:   155916 5eea68906058e471cb2669052e544ace
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge6_mips.deb
      Size/MD5 checksum:    55650 a524a73fea4d1b3b90ca327fddb654cc

  Little endian MIPS architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge6_mipsel.deb
      Size/MD5 checksum:  9807332 cf96cd6abc99138cc29970da55e0b212
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge6_mipsel.deb
      Size/MD5 checksum:   155456 61affe2d665661bdcbea5675ecc6e997
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge6_mipsel.deb
      Size/MD5 checksum:    55466 204a01cd5700af9fe83f46a578e16137

  PowerPC architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge6_powerpc.deb
      Size/MD5 checksum:  8567542 47ecafdf5d0546f37a93e607e5309ad9
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge6_powerpc.deb
      Size/MD5 checksum:   156574 a0e6cc0e9465b9514f890052fab979f6
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge6_powerpc.deb
      Size/MD5 checksum:    57758 76f1ce6caf3c5e43512567738cb1efbd

  IBM S/390 architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge6_s390.deb
      Size/MD5 checksum:  9639294 3ee16b1842014591a467ef4b728864e8
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge6_s390.deb
      Size/MD5 checksum:   163512 ff6eb1ff873acb224dedb28e4af99c0f
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge6_s390.deb
      Size/MD5 checksum:    57946 9ea184c5b5d433d0271a7f1a96f06234

  Sun Sparc architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge6_sparc.deb
      Size/MD5 checksum:  8659558 4b91971c36927f498fb1f2b98d681bc6
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge6_sparc.deb
      Size/MD5 checksum:   156772 d9eb8881f510b007904587450ae44a61
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge6_sparc.deb
      Size/MD5 checksum:    54194 508ab5503cc83699296f707d2fd66026


   これらのファイルは次の版の安定版リリース時そちらに移されます。

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>

------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------