Skip to content

Security Advisory 重大(Critical):firefoxのセキュリティアップデート

アップデートID:

RHSA-2007:0979-1

タイプ:Security Advisory
重大性:重大/Critical
発行日:2007年10月19日
最終更新日:2007年10月19日
影響のある製品: RHEL Desktop Workstation (v. 5 client)
Red Hat Desktop (v. 4)
Red Hat Enterprise Linux (v. 5 server)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux Desktop (v. 5 client)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 4)
OVAL: https://rhn.redhat.com/errata/RHSA-2007-0979.html
CVEs (cve.mitre.org): CVE-2007-1095
CVE-2007-2292
CVE-2007-3511
CVE-2007-3844
CVE-2007-5334
CVE-2007-5337
CVE-2007-5338
CVE-2007-5339
CVE-2007-5340

詳細

複数のセキュリティのバグを修正したfirefoxのアップデートパッケージがRed Hat Enterprise Linux 4および5で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「重大(Critical)」のセキュリティ問題と評価されています。

Mozilla FirefoxはオープンソースのWebブラウザです。

Firefoxでの特定の不正なWebコンテンツの処理で、複数の欠陥が見つかりました。悪意のあるコンテンツを含んだWebページにより、Firefoxがクラッシュしたり、Firefoxを実行しているユーザとして任意のコードが実行されたりする可能性があります。(CVE-2007-5338、CVE-2007-5339、CVE-2007-5340)

Firefoxでの特定の不正なWebコンテンツの表示処理で、複数の欠陥が見つかりました。巧妙に作成されたコンテンツを含むWebページによってユーザが欺かれ、機密データが漏えいする可能性があります。(CVE-2007-1095、CVE-2007-3844、CVE-2007-3511、CVE-2007-5334)

Firefoxのsftpプロトコルハンドラで欠陥が見つかりました。悪意のあるWebページがリモートsftpサイトのデータにアクセスし、機密ユーザデータが盗まれる可能性があります。(CVE-2007-5337)

Firefoxがダイジェスト認証要求を生成する処理で、リクエスト分割の欠陥が見つかりました。特定のURLを作成し、それをユーザが開いた場合、クロスサイトスクリプティング、Webキャッシュポイズニング、その他の類似した攻撃が実行される可能性があります。(CVE-2007-2292)

Firefoxのすべてのユーザは、これらの問題を修正するバックポートパッチを含む上記アップデートパッケージにアップグレードしてください。


解決法


このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。


アップデートパッケージ

RHEL Desktop Workstation (v. 5 client)
IA-32:
firefox-devel-1.5.0.12-6.el5.i386.rpm     f307deb5f1cca86fe342f99eef6a0400
 
x86_64:
firefox-devel-1.5.0.12-6.el5.i386.rpm     f307deb5f1cca86fe342f99eef6a0400
firefox-devel-1.5.0.12-6.el5.x86_64.rpm     a512569a312536720d54a60b123974c1
 
Red Hat Desktop (v. 4)
SRPMS:
firefox-1.5.0.12-0.7.el4.src.rpm     14521bc61a8a3fae6f51e01b7397dcb6
 
IA-32:
firefox-1.5.0.12-0.7.el4.i386.rpm     a77fcb609b6967686ace6611ee46006b
 
x86_64:
firefox-1.5.0.12-0.7.el4.x86_64.rpm     3ee97b00b1b1a207bed96c195fac7c32
 
Red Hat Enterprise Linux (v. 5 server)
SRPMS:
firefox-1.5.0.12-6.el5.src.rpm     8751dd10ea3396a563771e436a3eb1d1
 
IA-32:
firefox-1.5.0.12-6.el5.i386.rpm     e6d7cc39fef9cd508408ebc48d56509f
firefox-devel-1.5.0.12-6.el5.i386.rpm     f307deb5f1cca86fe342f99eef6a0400
 
IA-64:
firefox-1.5.0.12-6.el5.ia64.rpm     2ca6057ea5a0d1cc04128558d4c85069
firefox-devel-1.5.0.12-6.el5.ia64.rpm     83e887e01be14575bddb90b27fd12046
 
PPC:
firefox-1.5.0.12-6.el5.ppc.rpm     513389cac0f34e73c6ea7268d4105a47
firefox-devel-1.5.0.12-6.el5.ppc.rpm     6d043336dbfbac647ed0b356b2c0b9a6
 
s390x:
firefox-1.5.0.12-6.el5.s390.rpm     e94181f34bdbf029e08afd540f4788da
firefox-1.5.0.12-6.el5.s390x.rpm     fddf399d5ec6d03d8b8d8e5deec8ff93
firefox-devel-1.5.0.12-6.el5.s390.rpm     40acebdc1765435c854d4ffb6e74733c
firefox-devel-1.5.0.12-6.el5.s390x.rpm     09ad411554d856053321d42f590187b4
 
x86_64:
firefox-1.5.0.12-6.el5.i386.rpm     e6d7cc39fef9cd508408ebc48d56509f
firefox-1.5.0.12-6.el5.x86_64.rpm     a3025709096696676df09a4b2125b2e1
firefox-devel-1.5.0.12-6.el5.i386.rpm     f307deb5f1cca86fe342f99eef6a0400
firefox-devel-1.5.0.12-6.el5.x86_64.rpm     a512569a312536720d54a60b123974c1
 
Red Hat Enterprise Linux AS (v. 4)
SRPMS:
firefox-1.5.0.12-0.7.el4.src.rpm     14521bc61a8a3fae6f51e01b7397dcb6
 
IA-32:
firefox-1.5.0.12-0.7.el4.i386.rpm     a77fcb609b6967686ace6611ee46006b
 
IA-64:
firefox-1.5.0.12-0.7.el4.ia64.rpm     22a57ce44aa809198be66d6eef97bb9c
 
PPC:
firefox-1.5.0.12-0.7.el4.ppc.rpm     a3067493f97b4921b3e4320516b09988
 
s390:
firefox-1.5.0.12-0.7.el4.s390.rpm     304d4a73bbbc1691762caa56fbe751b1
 
s390x:
firefox-1.5.0.12-0.7.el4.s390x.rpm     0536c7d1e6ce3c7147082020d126c546
 
x86_64:
firefox-1.5.0.12-0.7.el4.x86_64.rpm     3ee97b00b1b1a207bed96c195fac7c32
 
Red Hat Enterprise Linux Desktop (v. 5 client)
SRPMS:
firefox-1.5.0.12-6.el5.src.rpm     8751dd10ea3396a563771e436a3eb1d1
 
IA-32:
firefox-1.5.0.12-6.el5.i386.rpm     e6d7cc39fef9cd508408ebc48d56509f
 
x86_64:
firefox-1.5.0.12-6.el5.i386.rpm     e6d7cc39fef9cd508408ebc48d56509f
firefox-1.5.0.12-6.el5.x86_64.rpm     a3025709096696676df09a4b2125b2e1
 
Red Hat Enterprise Linux ES (v. 4)
SRPMS:
firefox-1.5.0.12-0.7.el4.src.rpm     14521bc61a8a3fae6f51e01b7397dcb6
 
IA-32:
firefox-1.5.0.12-0.7.el4.i386.rpm     a77fcb609b6967686ace6611ee46006b
 
IA-64:
firefox-1.5.0.12-0.7.el4.ia64.rpm     22a57ce44aa809198be66d6eef97bb9c
 
x86_64:
firefox-1.5.0.12-0.7.el4.x86_64.rpm     3ee97b00b1b1a207bed96c195fac7c32
 
Red Hat Enterprise Linux WS (v. 4)
SRPMS:
firefox-1.5.0.12-0.7.el4.src.rpm     14521bc61a8a3fae6f51e01b7397dcb6
 
IA-32:
firefox-1.5.0.12-0.7.el4.i386.rpm     a77fcb609b6967686ace6611ee46006b
 
IA-64:
firefox-1.5.0.12-0.7.el4.ia64.rpm     22a57ce44aa809198be66d6eef97bb9c
 
x86_64:
firefox-1.5.0.12-0.7.el4.x86_64.rpm     3ee97b00b1b1a207bed96c195fac7c32
 
(The unlinked packages above are only available from the Red Hat Network)


バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

246248 - firefox crashes when searching for word "do"
333991 - Mozilla products security update (CVE-2007-1095, CVE-2007-2292, CVE-2007-3511, CVE-2007-3844, CVE-2007-5334, CVE-2007-5337, CVE-2007-5338, CVE-2007-5339, CVE-2007-5340)


参照


http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1095
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2292
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3511
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3844
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5334
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5337
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5338
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5339
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5340
http://en.wikipedia.org/wiki/HTTP_response_splitting
http://www.redhat.com/security/updates/classification/#critical


ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/