Skip to content

Security Advisory 中(Moderate):thunderbirdのセキュリティアップデート

アップデートID:

RHSA-2008:0105-4

タイプ:Security Advisory
重大性:Moderate
発行日:2008年2月7日
最終更新日:2008年2月7日
影響のある製品: RHEL Optional Productivity Applications (v. 5 server)
Red Hat Desktop (v. 4)
Red Hat Enterprise Linux AS (v. 4)
Red Hat Enterprise Linux Desktop (v. 5 client)
Red Hat Enterprise Linux ES (v. 4)
Red Hat Enterprise Linux WS (v. 4)
OVAL: https://rhn.redhat.com/errata/RHSA-2008-0105.html
CVEs (cve.mitre.org): CVE-2008-0412
CVE-2008-0413
CVE-2008-0415
CVE-2008-0418
CVE-2008-0419
CVE-2008-0420
CVE-2008-0591
CVE-2008-0592
CVE-2008-0593


詳細

複数のセキュリティ問題を修正したthunderbirdのアップデートパッケージが、Red Hat Enterprise Linux 4および5で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中(Moderate)」のセキュリティ問題と評価されています。

Mozilla Thunderbirdは、スタンドアロンのメールおよびニュースグループクライアントです。

Thunderbirdでの特定の不正なHTMLメールコンテンツの処理で、複数の欠陥が見つかりました。悪意のあるコンテンツを含んだHTMLメールメッセージにより、Thunderbirdがクラッシュしたり、Thunderbirdを実行しているユーザとして任意のコードが実行されたりする可能性があります。(CVE-2008-0412、CVE-2008-0413、CVE-2008-0415、CVE-2008-0419)

Thunderbirdが不正なHTMLメールコンテンツを表示したときの処理で、複数の欠陥が見つかりました。巧妙に作成されたコンテンツを含むHTMLメールメッセージによってユーザが欺かれ、機密データが漏えいする可能性があります。(CVE-2008-0591、CVE-2008-0593)

Thunderbirdでの特定のクロムURLの処理で欠陥が見つかりました。ユーザが特定のエクステンションをインストールしている場合、悪意のあるHTMLメールメッセージによって機密セッションデータが盗まれる可能性があります。注:この欠陥は、Thunderbirdのデフォルトインストールには影響しません。(CVE-2008-0418)

注:Thunderbirdでは、JavaScriptのサポートはデフォルトで無効になっています。上記の問題は、JavaScriptが有効にされないかぎり悪用できません。

Thunderbirdにより特定のテキストファイルを保存する処理で欠陥が見つかりました。リモートサイトでタイプ「text/plain」ではなく「plain/text」のファイルが提供された場合、Thunderbirdが「text/plain」のコンテンツを表示しなく なるため、ユーザがコンテンツを表示するには、それらのファイルをローカルに保存する必要があります。(CVE-2008-0592)

Thunderbirdのユーザは、これらの問題を解決するバックポートパッチを含む上記アップデートパッケージにアップグレードしてください。


解決法


このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。


アップデートパッケージ

RHEL Optional Productivity Applications (v. 5 server)
SRPMS:
thunderbird-1.5.0.12-8.el5.src.rpm
File outdated by:  RHBA-2008:0148		     5476abef074753b6489cf4240418560e
 
IA-32:
thunderbird-1.5.0.12-8.el5.i386.rpm
File outdated by:  RHBA-2008:0148		     4bb36e2e52ce196614f0fe785214c321
 
x86_64:
thunderbird-1.5.0.12-8.el5.x86_64.rpm
File outdated by:  RHBA-2008:0148		     ff56aec8c5a71b989ba04a7802f3f259
 
Red Hat Desktop (v. 4)
SRPMS:
thunderbird-1.5.0.12-8.el4.src.rpm     35237e1916def4a8c20878aedc3b9116
 
IA-32:
thunderbird-1.5.0.12-8.el4.i386.rpm     5ac0045ed8581f6ae5e2f0ae3a76e789
 
x86_64:
thunderbird-1.5.0.12-8.el4.x86_64.rpm     241f3aa2d9e9e9d745bd64ae9caa587b
 
Red Hat Enterprise Linux AS (v. 4)
SRPMS:
thunderbird-1.5.0.12-8.el4.src.rpm     35237e1916def4a8c20878aedc3b9116
 
IA-32:
thunderbird-1.5.0.12-8.el4.i386.rpm     5ac0045ed8581f6ae5e2f0ae3a76e789
 
IA-64:
thunderbird-1.5.0.12-8.el4.ia64.rpm     f83f01ae192922b4f65ebc65844f044f
 
PPC:
thunderbird-1.5.0.12-8.el4.ppc.rpm     5eba9c6b103b5e8604ad41839298af63
 
s390:
thunderbird-1.5.0.12-8.el4.s390.rpm     07cc67269ecb1a738fd41339e448b5b4
 
s390x:
thunderbird-1.5.0.12-8.el4.s390x.rpm     6cbb63c50891af0938ff7488ee2ec732
 
x86_64:
thunderbird-1.5.0.12-8.el4.x86_64.rpm     241f3aa2d9e9e9d745bd64ae9caa587b
 
Red Hat Enterprise Linux Desktop (v. 5 client)
SRPMS:
thunderbird-1.5.0.12-8.el5.src.rpm
File outdated by:  RHBA-2008:0148		     5476abef074753b6489cf4240418560e
 
IA-32:
thunderbird-1.5.0.12-8.el5.i386.rpm
File outdated by:  RHBA-2008:0148		     4bb36e2e52ce196614f0fe785214c321
 
x86_64:
thunderbird-1.5.0.12-8.el5.x86_64.rpm
File outdated by:  RHBA-2008:0148		     ff56aec8c5a71b989ba04a7802f3f259
 
Red Hat Enterprise Linux ES (v. 4)
SRPMS:
thunderbird-1.5.0.12-8.el4.src.rpm     35237e1916def4a8c20878aedc3b9116
 
IA-32:
thunderbird-1.5.0.12-8.el4.i386.rpm     5ac0045ed8581f6ae5e2f0ae3a76e789
 
IA-64:
thunderbird-1.5.0.12-8.el4.ia64.rpm     f83f01ae192922b4f65ebc65844f044f
 
x86_64:
thunderbird-1.5.0.12-8.el4.x86_64.rpm     241f3aa2d9e9e9d745bd64ae9caa587b
 
Red Hat Enterprise Linux WS (v. 4)
SRPMS:
thunderbird-1.5.0.12-8.el4.src.rpm     35237e1916def4a8c20878aedc3b9116
 
IA-32:
thunderbird-1.5.0.12-8.el4.i386.rpm     5ac0045ed8581f6ae5e2f0ae3a76e789
 
IA-64:
thunderbird-1.5.0.12-8.el4.ia64.rpm     f83f01ae192922b4f65ebc65844f044f
 
x86_64:
thunderbird-1.5.0.12-8.el4.x86_64.rpm     241f3aa2d9e9e9d745bd64ae9caa587b
 
(The unlinked packages above are only available from the Red Hat Network)


バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)

431732 - CVE-2008-0412 Mozilla layout engine crashes
431733 - CVE-2008-0413 Mozilla javascript engine crashes
431739 - CVE-2008-0415 Mozilla arbitrary code execution
431748 - CVE-2008-0418 Mozilla chrome: directory traversal
431749 - CVE-2008-0419 Mozilla arbitrary code execution
431751 - CVE-2008-0591 Mozilla information disclosure flaw
431752 - CVE-2008-0592 Mozilla text file mishandling
431756 - CVE-2008-0593 Mozilla URL token stealing flaw
435123 - CVE-2008-0304 thunderbird/seamonkey: MIME External-Body Heap Overflow Vulnerability


参照


http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0304
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0412
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0413
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0415
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0418
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0419
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0420
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0591
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0592
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0593
http://www.redhat.com/security/updates/classification/#critical


ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package

The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/