Skip to content

Security Advisory 重大(Critical):firefoxのセキュリティアップデート

アップデートID:

RHSA-2008:0103-7

タイプ:Security Advisory
重大性:Critical
発行日:2008年2月7日
最終更新日:2008年2月7日
影響のある製品: RHEL Desktop Workstation (v. 5 client)
Red Hat Desktop (v. 4)
Red Hat Enterprise Linux (v. 5 server)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux Desktop (v. 5 client)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 4)
OVAL: https://rhn.redhat.com/errata/RHSA-2008-0103.html
CVEs (cve.mitre.org): CVE-2008-0412
CVE-2008-0413
CVE-2008-0415
CVE-2008-0416
CVE-2008-0417
CVE-2008-0418
CVE-2008-0419
CVE-2008-0420
CVE-2008-0591
CVE-2008-0592
CVE-2008-0593


詳細

複数のセキュリティ問題を修正したfirefoxのアップデートパッケージがRed Hat Enterprise Linux 4および5で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「重大(Critical)」のセキュリティ問題と評価されています。

Mozilla FirefoxはオープンソースのWebブラウザです。

Firefoxでの特定の不正なWebコンテンツの処理で、複数の欠陥が見つかりました。悪意のあるコンテンツを含んだWebページにより、Firefoxがクラッシュしたり、Firefoxを実行しているユーザとして任意のコードが実行されたりする可能性があります。(CVE-2008-0412、CVE-2008-0413、CVE-2008-0415、CVE-2008-0419)

Firefoxが不正なWebコンテンツを表示したときの処理で、複数の欠陥が見つかりました。巧妙に作成されたコンテンツを含むWebページによってユーザが欺かれ、機密データが漏えいする可能性があります。(CVE-2008-0591、CVE-2008-0593)

Firefoxがパスワードデータを保存する処理で欠陥が見つかりました。ユーザが悪意のあるWebサイトのログイン情報を保存した場合、パスワードデータベースが破損し、保存されたパスワードデータにユーザが正しくアクセスできなくなる可能性があります。(CVE-2008-0417)

Firefoxでの特定のクロムURLの処理で欠陥が見つかりました。ユーザが特定のエクステンションをインストールしている場合、悪意のあるWebサイトによって機密セッションデータが盗まれる可能性があります。注:この欠陥は、Firefoxのデフォルトインストールには影響しません。(CVE-2008-0418)

Firefoxにより特定のテキストファイルを保存する処理で欠陥が見つかりました。Webサイトでタイプ「text/plain」ではなく「plain/text」のファイルが提供された場合、Firefoxがブラウザで「text/plain」のコンテンツを表示しなくなるため、ユーザがコンテンツを表示するには、それらのファイルをローカルに保存する必要があります。(CVE-2008-0592)

Firefoxのユーザは、これらの問題を解決するバックポートパッチを含む上記アップデートパッケージにアップグレードしてください。


解決法


このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。


アップデートパッケージ

RHEL Desktop Workstation (v. 5 client)
IA-32:
firefox-devel-1.5.0.12-9.el5.i386.rpm
File outdated by:  RHBA-2008:0147		     1bb7eb880086ff119a405a56895275ce
 
x86_64:
firefox-devel-1.5.0.12-9.el5.i386.rpm
File outdated by:  RHBA-2008:0147		     1bb7eb880086ff119a405a56895275ce
firefox-devel-1.5.0.12-9.el5.x86_64.rpm
File outdated by:  RHBA-2008:0147		     006b67dcb77c4682caa69f705a184a0b
 
Red Hat Desktop (v. 4)
SRPMS:
firefox-1.5.0.12-0.10.el4.src.rpm     6d882e2b400bc99bd4604f79fad1b269
 
IA-32:
firefox-1.5.0.12-0.10.el4.i386.rpm     aa34ca7e1e8b9d59169350f1626e0499
 
x86_64:
firefox-1.5.0.12-0.10.el4.x86_64.rpm     d060488f560fdf250253913a3e6b7f61
 
Red Hat Enterprise Linux (v. 5 server)
SRPMS:
firefox-1.5.0.12-9.el5.src.rpm
File outdated by:  RHBA-2008:0147		     ef0760d08757233d7b66be192a7c66c2
 
IA-32:
firefox-1.5.0.12-9.el5.i386.rpm
File outdated by:  RHBA-2008:0147		     98156de9c8786d12f21557381c505468
firefox-devel-1.5.0.12-9.el5.i386.rpm
File outdated by:  RHBA-2008:0147		     1bb7eb880086ff119a405a56895275ce
 
IA-64:
firefox-1.5.0.12-9.el5.ia64.rpm
File outdated by:  RHBA-2008:0147		     347fd862db0318d801529e744b298548
firefox-devel-1.5.0.12-9.el5.ia64.rpm
File outdated by:  RHBA-2008:0147		     7fbe8ac09c6ffebb7063d05d0e6a45ee
 
PPC:
firefox-1.5.0.12-9.el5.ppc.rpm
File outdated by:  RHBA-2008:0147		     14b94cd140c6021fafb4f0112e0afa49
firefox-devel-1.5.0.12-9.el5.ppc.rpm
File outdated by:  RHBA-2008:0147		     2311468caa7f94365f0997768ff49ff9
 
s390x:
firefox-1.5.0.12-9.el5.s390.rpm
File outdated by:  RHBA-2008:0147		     089d916d5b7690ad2eb9d7e7dc1102fd
firefox-1.5.0.12-9.el5.s390x.rpm
File outdated by:  RHBA-2008:0147		     5334c215fbaf2e9494a796b05c717b36
firefox-devel-1.5.0.12-9.el5.s390.rpm
File outdated by:  RHBA-2008:0147		     94f5873fa979d6467806f549dff63e58
firefox-devel-1.5.0.12-9.el5.s390x.rpm
File outdated by:  RHBA-2008:0147		     46bd369a60187973eb7118afbdca2fba
 
x86_64:
firefox-1.5.0.12-9.el5.i386.rpm
File outdated by:  RHBA-2008:0147		     98156de9c8786d12f21557381c505468
firefox-1.5.0.12-9.el5.x86_64.rpm
File outdated by:  RHBA-2008:0147		     7feb239e773cd8630494b49915ba664d
firefox-devel-1.5.0.12-9.el5.i386.rpm
File outdated by:  RHBA-2008:0147		     1bb7eb880086ff119a405a56895275ce
firefox-devel-1.5.0.12-9.el5.x86_64.rpm
File outdated by:  RHBA-2008:0147		     006b67dcb77c4682caa69f705a184a0b
 
Red Hat Enterprise Linux AS (v. 4)
SRPMS:
firefox-1.5.0.12-0.10.el4.src.rpm     6d882e2b400bc99bd4604f79fad1b269
 
IA-32:
firefox-1.5.0.12-0.10.el4.i386.rpm     aa34ca7e1e8b9d59169350f1626e0499
 
IA-64:
firefox-1.5.0.12-0.10.el4.ia64.rpm     41ca2561ffb75fae0a406c807cc2559b
 
PPC:
firefox-1.5.0.12-0.10.el4.ppc.rpm     ba2f0b1d7fcc09c3a43edc18aa828fcf
 
s390:
firefox-1.5.0.12-0.10.el4.s390.rpm     d378bb6c19aad6c52c2dee2c7acaccf3
 
s390x:
firefox-1.5.0.12-0.10.el4.s390x.rpm     531c070b0c9a60444539ff9d1b6fa965
 
x86_64:
firefox-1.5.0.12-0.10.el4.x86_64.rpm     d060488f560fdf250253913a3e6b7f61
 
Red Hat Enterprise Linux Desktop (v. 5 client)
SRPMS:
firefox-1.5.0.12-9.el5.src.rpm
File outdated by:  RHBA-2008:0147		     ef0760d08757233d7b66be192a7c66c2
 
IA-32:
firefox-1.5.0.12-9.el5.i386.rpm
File outdated by:  RHBA-2008:0147		     98156de9c8786d12f21557381c505468
 
x86_64:
firefox-1.5.0.12-9.el5.i386.rpm
File outdated by:  RHBA-2008:0147		     98156de9c8786d12f21557381c505468
firefox-1.5.0.12-9.el5.x86_64.rpm
File outdated by:  RHBA-2008:0147		     7feb239e773cd8630494b49915ba664d
 
Red Hat Enterprise Linux ES (v. 4)
SRPMS:
firefox-1.5.0.12-0.10.el4.src.rpm     6d882e2b400bc99bd4604f79fad1b269
 
IA-32:
firefox-1.5.0.12-0.10.el4.i386.rpm     aa34ca7e1e8b9d59169350f1626e0499
 
IA-64:
firefox-1.5.0.12-0.10.el4.ia64.rpm     41ca2561ffb75fae0a406c807cc2559b
 
x86_64:
firefox-1.5.0.12-0.10.el4.x86_64.rpm     d060488f560fdf250253913a3e6b7f61
 
Red Hat Enterprise Linux WS (v. 4)
SRPMS:
firefox-1.5.0.12-0.10.el4.src.rpm     6d882e2b400bc99bd4604f79fad1b269
 
IA-32:
firefox-1.5.0.12-0.10.el4.i386.rpm     aa34ca7e1e8b9d59169350f1626e0499
 
IA-64:
firefox-1.5.0.12-0.10.el4.ia64.rpm     41ca2561ffb75fae0a406c807cc2559b
 
x86_64:
firefox-1.5.0.12-0.10.el4.x86_64.rpm     d060488f560fdf250253913a3e6b7f61
 
(The unlinked packages above are only available from the Red Hat Network)


バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

431732 - CVE-2008-0412 Mozilla layout engine crashes
431733 - CVE-2008-0413 Mozilla javascript engine crashes
431739 - CVE-2008-0415 Mozilla arbitrary code execution
431742 - CVE-2008-0417 Mozilla arbitrary code execution
431748 - CVE-2008-0418 Mozilla chrome: directory traversal
431749 - CVE-2008-0419 Mozilla arbitrary code execution
431751 - CVE-2008-0591 Mozilla information disclosure flaw
431752 - CVE-2008-0592 Mozilla text file mishandling
431756 - CVE-2008-0593 Mozilla URL token stealing flaw


参照


http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0412
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0413
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0415
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0416
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0417
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0418
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0419
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0420
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0591
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0592
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0593
http://www.redhat.com/security/updates/classification/#critical


ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/