2006年7月23日

[debian-users:46933] [Translate] [SECURITY] [DSA 1120-1] New Mozilla Firefox packagesfix several vulnerabilities

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- --------------------------------------------------------------------------
Debian Security Advisory DSA 1120-1 security@xxxxx
http://www.debian.org/security/ Martin Schulze

July 23rd, 2006 http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package : mozilla-firefox
Vulnerability : 複数
Problem type : リモート
Debian-specific: いいえ
CVE IDs : CVE-2006-1942 CVE-2006-2775 CVE-2006-2776 CVE-2006-2777
CVE-2006-2778 CVE-2006-2779 CVE-2006-2780 CVE-2006-2782
CVE-2006-2783 CVE-2006-2784 CVE-2006-2785 CVE-2006-2786
CVE-2006-2787
CERT advisories: VU#237257 VU#243153 VU#421529 VU#466673 VU#575969
BugTraq ID : 18228

複数のセキュリティ関連の欠陥が Mozilla firefox に発見されています。The
Common Vulnerabilities and Exposures project では以下の問題を認識していま
す。


CVE-2006-1942

Eric Foley さんにより、他の欠陥を組み合わせてローカルファイルを画像と
して表示させることにより、リモートの攻撃者にローカルのファイルの内容
を漏洩させることが可能であることが発見されました。[MFSA-2006-39]


CVE-2006-2775

特定の状況下で XUL アトリビュートが誤った URL に結びつけられる場合があ
ります。この欠陥はリモートの攻撃者が制限を迂回するのに悪用される可能性
があります。 [MFSA-2006-35]


CVE-2006-2776

Paul Nickerson さんにより、オブジェクトプロトタイプのコンテンツ依存設
定処理を特権ユーザインターフェースコードから呼ぶことができることが発見
されました。さらに "moz_bug_r_a4" さんにより、コンテンツ依存設定の攻撃
コードに高い特権レベルのコンテキストを渡すことができることが実証されま
した。[MFSA-2006-37]


CVE-2006-2777

リモートの攻撃者が任意のコードの実行や、特権コンテキストで実行される通
知を作成することができる欠陥があります。 [MFSA-2006-43]


CVE-2006-2778

Mikolaj Habryn さんにより、crypto.signText 関数に バッファオーバフロー
が発見されました。この欠陥を特殊なオプション認証局名引数で攻撃すること
により、リモートの攻撃者が任意のコードを実行可能です。[MFSA-2006-38]


CVE-2006-2779

Mozilla チームメンバにより、ブラウザエンジンのテスト時にメモリ破壊を示
す複数のクラッシュが起きることが発見されました。この欠陥を攻撃すること
により、任意のコードの実行ができる可能性があります。この欠陥は部分的に
しか修正されていません。 [MFSA-2006-32]


CVE-2006-2780

整数オーバフローにより、リモートの攻撃者がサービス拒否攻撃を引き起こす
ことができ、さらに任意のコードの実行ができる可能性があります。
[MFSA-2006-32]


CVE-2006-2782

Chuck McAuley さんにより、テキスト入力ボックスをファイル名で埋めて、そ
れをそのファイルに対するファイルアップロードコントロールに変更すること
により、悪意を持ったウェブサイトから既知の名前のファイルを盗み取ること
ができることが発見されました。
[MFSA-2006-41, MFSA-2006-23, CVE-2006-1729]


CVE-2006-2783

Masatoshi Kimura さんにより、UTF-8 エンコーディングのページにおいて、
Unicode のバイトオーダマーク (BOM) が Unicode への変換の際、パーザにわ
たる前に削除されるため、リモートの攻撃者がクロスサイトスクリプティング
(XSS) 攻撃可能であることが発見されました。[MFSA-2006-42]


CVE-2006-2784

Paul Nickerson さんにより、CAN-2005-0752 の以前の修正がネストされた
JavaScript: URL に対しては効果がなく、攻撃者が特権コードを実行可能であ
ることが発見されました。[MFSA-2005-34, MFSA-2006-36]


CVE-2006-2785

Paul Nickerson さんにより、攻撃者がユーザに壊れた画像にたいして右クリ
ックさせ、「画像を見る」メニューを選択させることができるならば、
JavaScript を実行可能であることが実証されました。[MFSA-2006-34]


CVE-2006-2786

奥 一穂さんにより、Mozilla の HTTP ヘッダ処理が寛容に過ぎ、リモートの
攻撃者がブラウザに、特定の応答を異なった二サイトからの応答であるかのよ
うに解釈させることが可能であることが発見されました。[MFSA-2006-33]


CVE-2006-2787

Mozilla の研究者 "moz_bug_r_a4" さんにより、EvalInSandbox から実行され
た JavaScript がサンドボックス外に出ることができ、さらに特権を昇格させ
ることが可能であることが発見されました。[MFSA-2006-31]

安定版 (stable) ディストリビューション (sarge) では、この問題はバージョン
1.0.4-2sarge9 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョ
ン 1.5.dfsg+1.5.0.4-1 で修正されています。

直ぐに Mozilla firefox パッケージをアップグレードすることを勧めます。


アップグレード手順
------------------

wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。

Debian GNU/Linux 3.1 愛称 sarge
- --------------------------------

ソースアーカイブ:

http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9.dsc
Size/MD5 checksum: 1001 21424c5ba440f16f6abea37711d66aa9
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9.diff.gz
Size/MD5 checksum: 398646 2eff76a21650ad05f52b5fdf73bd3f7e
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4.orig.tar.gz
Size/MD5 checksum: 40212297 8e4ba81ad02c7986446d4e54e978409d

Alpha architecture:

http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_alpha.deb
Size/MD5 checksum: 11173304 3a940907dc9761c8f509bb4c985db436
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_alpha.deb
Size/MD5 checksum: 169032 05d7a00140abdf880b41c4fa28114068
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_alpha.deb
Size/MD5 checksum: 60866 de85fa33566f2fbfcc86501ee62b2a1b

AMD64 architecture:

http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_amd64.deb
Size/MD5 checksum: 9401816 963bc07e9bad81b56674d2e87fcc2074
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_amd64.deb
Size/MD5 checksum: 163774 782e55322d790e206be62b7c973cf4ee
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_amd64.deb
Size/MD5 checksum: 59390 62063c4dc7dfb9dd977b2a019bd37946

ARM architecture:

http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_arm.deb
Size/MD5 checksum: 8223298 0a3854d01bb66b8251a6fd0f6f6acf1d
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_arm.deb
Size/MD5 checksum: 155248 04b4755e60835717a7b5ed0025f00f0c
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_arm.deb
Size/MD5 checksum: 54702 93f66e628ad9327de4ed14acdfec4395

Intel IA-32 architecture:

http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_i386.deb
Size/MD5 checksum: 8899786 395567e782da4a1d6e0ef10367ba57cc
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_i386.deb
Size/MD5 checksum: 159032 5225bca73b84ed3e8a1c4e06bdd6cd69
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_i386.deb
Size/MD5 checksum: 56250 f8baa460416bd34c28e347b371c2ac72

Intel IA-64 architecture:

http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_ia64.deb
Size/MD5 checksum: 11632562 3fc46e9c4a4575594c610c7ff85146ce
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_ia64.deb
Size/MD5 checksum: 169362 aad3f6f89760080eca86f9988c690532
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_ia64.deb
Size/MD5 checksum: 64062 0973673b6e56cc6d26db14a0170c4a1a

HP Precision architecture:

http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_hppa.deb
Size/MD5 checksum: 10275134 dbdcf7d07ead3c046ec5a604922bd853
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_hppa.deb
Size/MD5 checksum: 166732 ff51c0f78f3bb6ee011c85e850e67230
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_hppa.deb
Size/MD5 checksum: 59840 856193bc316aecbcce4f88aae4404240

Motorola 680x0 architecture:

http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_m68k.deb
Size/MD5 checksum: 8175302 d60841a0292077f4635ca9b68c45cd8a
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_m68k.deb
Size/MD5 checksum: 157932 5559512572a0493c336f46e67dc6163d
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_m68k.deb
Size/MD5 checksum: 55524 f04387c9e24e76965342227983327a03

Big endian MIPS architecture:

http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_mips.deb
Size/MD5 checksum: 9932150 56eefc3ec8a8832645ec1316929f4411
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_mips.deb
Size/MD5 checksum: 156774 696dca1ed57d6c13fd80bcd6fc4364cd
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_mips.deb
Size/MD5 checksum: 56506 af7303ff23599cf25224df22f5b92e05

Little endian MIPS architecture:

http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_mipsel.deb
Size/MD5 checksum: 9810314 3673c61e049c42c7ea21ed58e06b2acc
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_mipsel.deb
Size/MD5 checksum: 156350 9d3f411c8372b54775ab5ba90c10d0da
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_mipsel.deb
Size/MD5 checksum: 56336 ccc11bdf50a4b0809fe7ed2dbdf44006

PowerPC architecture:

http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_powerpc.deb
Size/MD5 checksum: 8571660 cf198d98db5695e5c423c567ebfdba38
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_powerpc.deb
Size/MD5 checksum: 157448 d96866bfc3e74f73d6cf4a3f71aa50cb
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_powerpc.deb
Size/MD5 checksum: 58628 e3a6722463006bb379c9548318784af8

IBM S/390 architecture:

http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_s390.deb
Size/MD5 checksum: 9641400 c935ca331cf22eab9f311fc65c69e227
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_s390.deb
Size/MD5 checksum: 164392 342aeb1f6362565bac9cd8f9a34e6711
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_s390.deb
Size/MD5 checksum: 58816 3199d08b5c64c05d4c9f3600fd1a9927

Sun Sparc architecture:

http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge9_sparc.deb
Size/MD5 checksum: 8662210 a25db0f4ce57b47898d633b2512cd0b4
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge9_sparc.deb
Size/MD5 checksum: 157632 5d0f66746bcbb48269e1e4e0efa71067
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge9_sparc.deb
Size/MD5 checksum: 55062 99d09b78f6efa23c02d1e9076185f105


これらのファイルは次の版の安定版リリース時そちらに移されます。

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@xxxxx
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<;pkg>

------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxx
---------------------------------------------------------


投稿者 xml-rpc : 2006年7月23日 16:15
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/42642
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。