重大(Critical):firefoxのセキュリティアップデート
| アドバイスID: | RHSA-2006:0675-5 |
| 最終更新日: | 2006-09-15 |
| 影響のあるプロダクト: |
Red Hat Desktop (v. 4) Red Hat Enterprise Linux AS (v. 4) Red Hat Enterprise Linux ES (v. 4) Red Hat Enterprise Linux WS (v. 4) |
| CVEs (cve.mitre.org): |
CVE-2006-4253 CVE-2006-4340 CVE-2006-4565 CVE-2006-4566 CVE-2006-4567 CVE-2006-4568 CVE-2006-4569 CVE-2006-4571 |
セキュリティ・アドバイス
概要:
複数のセキュリティのバグを修正したfirefoxのアップデートパッケージがRed Hat Enterprise Linux 4で利用可能になりました。
このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「重大(Critical)」のセキュリティ問題と評価されています。
Mozilla FirefoxはオープンソースのWebブラウザです。
Firefoxによる特定の正規表現の処理で2つの欠陥が見つかりました。悪意のあるWebページによって、ブラウザがクラッシュしたり、Firefoxを実行しているユーザとして任意のコードが実行されたりする可能性があります。(CVE-2006-4565、CVE-2006-4566)
Firefoxで多数の欠陥が見つかりました。悪意のあるWebページによって、ブラウザがクラッシュしたり、Firefoxを実行しているユーザとして任意のコードが実行されたりする可能性があります。(CVE-2006-4571)
Javascriptの定時イベントの処理で欠陥が見つかりました。悪意のあるWebページによって、ブラウザがクラッシュしたり、Firefoxを実行しているユーザとして任意のコードが実行されたりする可能性があります。(CVE-2006-4253)
Daniel Bleichenbacher氏が最近、RSA署名の確認に実装エラーがあることを報告しました。指数3のRSA鍵について、攻撃者が署名を偽造し、NSSライブラリによって誤った確認が行われる可能性があります。出荷されているFirefoxでは、指数3を使用する複数のルート認証局を信頼します。ユーザがサイトにアクセスしたときに、攻撃者により巧妙に作成されたSSL証明書が誤って信頼される可能性があります。(CVE-2006-4340)
Firefoxの自動アップデート確認システムで欠陥が見つかりました。DNSを偽造できる攻撃者が、悪意のあるコードをFirefoxにダウンロードし、インストールする可能性があります。この問題を悪用するには、攻撃されるユーザが、確認できない証明書をあらかじめ承認していることも必要です。(CVE-2006-4567)
Firefoxは、あるドメインのフレームによって別のドメインに属するサブフレームにコンテンツが挿入されることを正しく防止していませんでした。これによって、Webサイトのスプーフィングやその他の攻撃が容易になります。(CVE-2006-4568)
Firefoxは、手動オープンのブロックされたポップアップを正しいドメインコンテキストでロードしませんでした。これによってクロスサイトスクリプティング攻撃が可能になります。この問題を悪用するには、悪意のあるページを構成できるサイトを見つけて、ブロックされたポップアップをユーザに手動でオープンさせる必要があります。(CVE-2006-4569)
Firefoxのユーザは、これらの問題を修正するFirefoxバージョン1.5.0.7を含む上記アップデートにアップグレードしてください。
アップデート・パッケージ:
| Red Hat Desktop (v. 4) | |
| SRPMS: | |
| firefox-1.5.0.7-0.1.el4.src.rpm | 241224d9bdd1a0528ae3f0d6f6c76706 |
| IA-32: | |
| firefox-1.5.0.7-0.1.el4.i386.rpm | 7b05eed2e30fcd2fa3817f2b9db31a1f |
| x86_64: | |
| firefox-1.5.0.7-0.1.el4.x86_64.rpm | df8f9637dea4578c0fa31b894b110fc8 |
| Red Hat Enterprise Linux AS (v. 4) | |
| SRPMS: | |
| firefox-1.5.0.7-0.1.el4.src.rpm | 241224d9bdd1a0528ae3f0d6f6c76706 |
| IA-32: | |
| firefox-1.5.0.7-0.1.el4.i386.rpm | 7b05eed2e30fcd2fa3817f2b9db31a1f |
| IA-64: | |
| firefox-1.5.0.7-0.1.el4.ia64.rpm | 4116039526212f6a3598d3a754afb5f8 |
| PPC: | |
| firefox-1.5.0.7-0.1.el4.ppc.rpm | cd54ba632b1a655b851e90b9605d544b |
| s390: | |
| firefox-1.5.0.7-0.1.el4.s390.rpm | 8fff914d6af6c6e11791858a2344ebb7 |
| s390x: | |
| firefox-1.5.0.7-0.1.el4.s390x.rpm | 1248aa27db49e2dad2243b63092a1afc |
| x86_64: | |
| firefox-1.5.0.7-0.1.el4.x86_64.rpm | df8f9637dea4578c0fa31b894b110fc8 |
| Red Hat Enterprise Linux ES (v. 4) | |
| SRPMS: | |
| firefox-1.5.0.7-0.1.el4.src.rpm | 241224d9bdd1a0528ae3f0d6f6c76706 |
| IA-32: | |
| firefox-1.5.0.7-0.1.el4.i386.rpm | 7b05eed2e30fcd2fa3817f2b9db31a1f |
| IA-64: | |
| firefox-1.5.0.7-0.1.el4.ia64.rpm | 4116039526212f6a3598d3a754afb5f8 |
| x86_64: | |
| firefox-1.5.0.7-0.1.el4.x86_64.rpm | df8f9637dea4578c0fa31b894b110fc8 |
| Red Hat Enterprise Linux WS (v. 4) | |
| SRPMS: | |
| firefox-1.5.0.7-0.1.el4.src.rpm | 241224d9bdd1a0528ae3f0d6f6c76706 |
| IA-32: | |
| firefox-1.5.0.7-0.1.el4.i386.rpm | 7b05eed2e30fcd2fa3817f2b9db31a1f |
| IA-64: | |
| firefox-1.5.0.7-0.1.el4.ia64.rpm | 4116039526212f6a3598d3a754afb5f8 |
| x86_64: | |
| firefox-1.5.0.7-0.1.el4.x86_64.rpm | df8f9637dea4578c0fa31b894b110fc8 |
| (The unlinked packages above are only available from the Red Hat Network) | |
解決法:
このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください: rpm -Fvh [filename] [filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、 ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。 up2date このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。
参照:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4253http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4340
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4565
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4566
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4567
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4568
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4569
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4571
http://www.redhat.com/security/updates/classification/#critical
ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html
各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。
Copyright © 2008 Red Hat, Inc. All rights reserved.
プライバシー ステートメント :
リーガル ステートメント/利用条件 :
特許に関する見解と約束 :
各種お問い合わせ