[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:46933] [Translate] [SECURITY] [DSA 1120-1] New Mozilla Firefox packages fix several vulnerabilities



かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- --------------------------------------------------------------------------
Debian Security Advisory DSA 1120-1                    security@debian.org
http://www.debian.org/security/                             Martin Schulze
July 23rd, 2006                         http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package        : mozilla-firefox
Vulnerability  : 複数
Problem type   : リモート
Debian-specific: いいえ
CVE IDs        : CVE-2006-1942 CVE-2006-2775 CVE-2006-2776 CVE-2006-2777
                 CVE-2006-2778 CVE-2006-2779 CVE-2006-2780 CVE-2006-2782
                 CVE-2006-2783 CVE-2006-2784 CVE-2006-2785 CVE-2006-2786
                 CVE-2006-2787
CERT advisories: VU#237257 VU#243153 VU#421529 VU#466673 VU#575969
BugTraq ID     : 18228

複数のセキュリティ関連の欠陥が Mozilla firefox に発見されています。The
Common Vulnerabilities and Exposures project では以下の問題を認識していま
す。


CVE-2006-1942

    Eric Foley さんにより、他の欠陥を組み合わせてローカルファイルを画像と
    して表示させることにより、リモートの攻撃者にローカルのファイルの内容
    を漏洩させることが可能であることが発見されました。[MFSA-2006-39]


CVE-2006-2775

    特定の状況下で XUL アトリビュートが誤った URL に結びつけられる場合があ
    ります。この欠陥はリモートの攻撃者が制限を迂回するのに悪用される可能性
    があります。 [MFSA-2006-35]


CVE-2006-2776

    Paul Nickerson さんにより、オブジェクトプロトタイプのコンテンツ依存設
    定処理を特権ユーザインターフェースコードから呼ぶことができることが発見
    されました。さらに "moz_bug_r_a4" さんにより、コンテンツ依存設定の攻撃
    コードに高い特権レベルのコンテキストを渡すことができることが実証されま
    した。[MFSA-2006-37]


CVE-2006-2777

    リモートの攻撃者が任意のコードの実行や、特権コンテキストで実行される通
    知を作成することができる欠陥があります。 [MFSA-2006-43]


CVE-2006-2778

    Mikolaj Habryn さんにより、crypto.signText 関数に バッファオーバフロー
    が発見されました。この欠陥を特殊なオプション認証局名引数で攻撃すること
    により、リモートの攻撃者が任意のコードを実行可能です。[MFSA-2006-38]


CVE-2006-2779

    Mozilla チームメンバにより、ブラウザエンジンのテスト時にメモリ破壊を示
    す複数のクラッシュが起きることが発見されました。この欠陥を攻撃すること
    により、任意のコードの実行ができる可能性があります。この欠陥は部分的に
    しか修正されていません。 [MFSA-2006-32]


CVE-2006-2780

    整数オーバフローにより、リモートの攻撃者がサービス拒否攻撃を引き起こす
    ことができ、さらに任意のコードの実行ができる可能性があります。
    [MFSA-2006-32]


CVE-2006-2782

    Chuck McAuley さんにより、テキスト入力ボックスをファイル名で埋めて、そ
    れをそのファイルに対するファイルアップロードコントロールに変更すること
    により、悪意を持ったウェブサイトから既知の名前のファイルを盗み取ること
    ができることが発見されました。
    [MFSA-2006-41, MFSA-2006-23, CVE-2006-1729]


CVE-2006-2783

    Masatoshi Kimura さんにより、UTF-8 エンコーディングのページにおいて、
    Unicode のバイトオーダマーク (BOM) が Unicode への変換の際、パーザにわ
    たる前に削除されるため、リモートの攻撃者がクロスサイトスクリプティング
    (XSS) 攻撃可能であることが発見されました。[MFSA-2006-42]


CVE-2006-2784

    Paul Nickerson さんにより、CAN-2005-0752 の以前の修正がネストされた
    JavaScript: URL に対しては効果がなく、攻撃者が特権コードを実行可能であ
    ることが発見されました。[MFSA-2005-34, MFSA-2006-36]


CVE-2006-2785

    Paul Nickerson さんにより、攻撃者がユーザに壊れた画像にたいして右クリ
    ックさせ、「画像を見る」メニューを選択させることができるならば、
    JavaScript を実行可能であることが実証されました。[MFSA-2006-34]


CVE-2006-2786

    奥 一穂さんにより、Mozilla の HTTP ヘッダ処理が寛容に過ぎ、リモートの
    攻撃者がブラウザに、特定の応答を異なった二サイトからの応答であるかのよ
    うに解釈させることが可能であることが発見されました。[MFSA-2006-33]


CVE-2006-2787

    Mozilla の研究者 "moz_bug_r_a4" さんにより、EvalInSandbox から実行され
    た JavaScript がサンドボックス外に出ることができ、さらに特権を昇格させ
    ることが可能であることが発見されました。[MFSA-2006-31]

安定版  (stable) ディストリビューション (sarge) では、この問題はバージョン
1.0.4-2sarge9 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョ
ン 1.5.dfsg+1.5.0.4-1 で修正されています。

直ぐに Mozilla firefox パッケージをアップグレードすることを勧めます。


アップグレード手順
------------------

wget url
        	でファイルを取得できます。
dpkg -i file.deb
                で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。





Debian GNU/Linux 3.1 愛称 sarge
- --------------------------------

  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9.dsc
      Size/MD5 checksum:     1001 21424c5ba440f16f6abea37711d66aa9
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9.diff.gz
      Size/MD5 checksum:   398646 2eff76a21650ad05f52b5fdf73bd3f7e
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4.orig.tar.gz
      Size/MD5 checksum: 40212297 8e4ba81ad02c7986446d4e54e978409d

  Alpha architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_alpha.deb
      Size/MD5 checksum: 11173304 3a940907dc9761c8f509bb4c985db436
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_alpha.deb
      Size/MD5 checksum:   169032 05d7a00140abdf880b41c4fa28114068
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_alpha.deb
      Size/MD5 checksum:    60866 de85fa33566f2fbfcc86501ee62b2a1b

  AMD64 architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_amd64.deb
      Size/MD5 checksum:  9401816 963bc07e9bad81b56674d2e87fcc2074
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_amd64.deb
      Size/MD5 checksum:   163774 782e55322d790e206be62b7c973cf4ee
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_amd64.deb
      Size/MD5 checksum:    59390 62063c4dc7dfb9dd977b2a019bd37946

  ARM architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_arm.deb
      Size/MD5 checksum:  8223298 0a3854d01bb66b8251a6fd0f6f6acf1d
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_arm.deb
      Size/MD5 checksum:   155248 04b4755e60835717a7b5ed0025f00f0c
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_arm.deb
      Size/MD5 checksum:    54702 93f66e628ad9327de4ed14acdfec4395

  Intel IA-32 architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_i386.deb
      Size/MD5 checksum:  8899786 395567e782da4a1d6e0ef10367ba57cc
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_i386.deb
      Size/MD5 checksum:   159032 5225bca73b84ed3e8a1c4e06bdd6cd69
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_i386.deb
      Size/MD5 checksum:    56250 f8baa460416bd34c28e347b371c2ac72

  Intel IA-64 architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_ia64.deb
      Size/MD5 checksum: 11632562 3fc46e9c4a4575594c610c7ff85146ce
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_ia64.deb
      Size/MD5 checksum:   169362 aad3f6f89760080eca86f9988c690532
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_ia64.deb
      Size/MD5 checksum:    64062 0973673b6e56cc6d26db14a0170c4a1a

  HP Precision architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_hppa.deb
      Size/MD5 checksum: 10275134 dbdcf7d07ead3c046ec5a604922bd853
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_hppa.deb
      Size/MD5 checksum:   166732 ff51c0f78f3bb6ee011c85e850e67230
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_hppa.deb
      Size/MD5 checksum:    59840 856193bc316aecbcce4f88aae4404240

  Motorola 680x0 architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_m68k.deb
      Size/MD5 checksum:  8175302 d60841a0292077f4635ca9b68c45cd8a
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_m68k.deb
      Size/MD5 checksum:   157932 5559512572a0493c336f46e67dc6163d
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_m68k.deb
      Size/MD5 checksum:    55524 f04387c9e24e76965342227983327a03

  Big endian MIPS architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_mips.deb
      Size/MD5 checksum:  9932150 56eefc3ec8a8832645ec1316929f4411
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_mips.deb
      Size/MD5 checksum:   156774 696dca1ed57d6c13fd80bcd6fc4364cd
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_mips.deb
      Size/MD5 checksum:    56506 af7303ff23599cf25224df22f5b92e05

  Little endian MIPS architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_mipsel.deb
      Size/MD5 checksum:  9810314 3673c61e049c42c7ea21ed58e06b2acc
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_mipsel.deb
      Size/MD5 checksum:   156350 9d3f411c8372b54775ab5ba90c10d0da
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_mipsel.deb
      Size/MD5 checksum:    56336 ccc11bdf50a4b0809fe7ed2dbdf44006

  PowerPC architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_powerpc.deb
      Size/MD5 checksum:  8571660 cf198d98db5695e5c423c567ebfdba38
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_powerpc.deb
      Size/MD5 checksum:   157448 d96866bfc3e74f73d6cf4a3f71aa50cb
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_powerpc.deb
      Size/MD5 checksum:    58628 e3a6722463006bb379c9548318784af8

  IBM S/390 architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_s390.deb
      Size/MD5 checksum:  9641400 c935ca331cf22eab9f311fc65c69e227
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_s390.deb
      Size/MD5 checksum:   164392 342aeb1f6362565bac9cd8f9a34e6711
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_s390.deb
      Size/MD5 checksum:    58816 3199d08b5c64c05d4c9f3600fd1a9927

  Sun Sparc architecture:

    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_sparc.deb
      Size/MD5 checksum:  8662210 a25db0f4ce57b47898d633b2512cd0b4
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_sparc.deb
      Size/MD5 checksum:   157632 5d0f66746bcbb48269e1e4e0efa71067
    http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_sparc.deb
      Size/MD5 checksum:    55062 99d09b78f6efa23c02d1e9076185f105


      これらのファイルは次の版の安定版リリース時そちらに移されます。

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>

------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------