Debian セキュリティ勧告
DSA-779-2 mozilla-firefox -- 複数の脆弱性
- 報告日時:
- 2005-08-20
- 影響を受けるパッケージ:
- mozilla-firefox
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 318061.
(SecurityFocus の) Bugtraq データベース: BugTraq ID 14242.
Mitre の CVE 辞書: CVE-2005-2260, CVE-2005-2261, CVE-2005-2262, CVE-2005-2263, CVE-2005-2264, CVE-2005-2265, CVE-2005-2266, CVE-2005-2267, CVE-2005-2268, CVE-2005-2269, CVE-2005-2270. - 詳細:
-
DSA 779-1 での Mozilla Firefox の更新では、残念ながらリグレッションを複数発生させてしまいました。 どう見ても通常のバックポート方法は使えないため、この更新は基本的にはバージョン 1.0.6 ですが、バージョン番号には元の 1.0.4-* が付けられます。 参考までに前の勧告を再掲します。
複数の問題が Mozilla ベースの軽量ウェブブラウザ Mozilla Firefox に発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:
- CAN-2005-2260
ブラウザユーザインターフェイスが、ユーザにより生成されたイベントと信用できない模造のイベントを適切に区別していません。このことで、 通常はユーザの手による操作によってのみ実行可能な危険な動作をリモートの攻撃者が実施することが容易になります。
- CAN-2005-2261
javascript が無効にされていても XML スクリプトを実行していました。
- CAN-2005-2262
javascript URL を壁紙として使用することにより、ユーザを欺いて任意の javascript コードを実行させることが可能です。
- CAN-2005-2263
リモートの攻撃者が別のドメインのコンテキスト (つまりフレーム) で callback 関数を実行することが可能です。
- CAN-2005-2264
悪意のあるリンクをサイドバーで開くことにより、 リモートの攻撃者が機密情報を盗聴することが可能です。
- CAN-2005-2265
InstallVersion.compareTo() の入力のサニタイジング欠落により、 アプリケーションのクラッシュを引き起こす可能性があります。
- CAN-2005-2266
リモートの攻撃者が異質なフレーム内でデータにアクセスすることにより、 クッキーやパスワード等の機密情報をウェブサイトから盗聴することが可能です。
- CAN-2005-2267
javascript: URL を開くのに Flash や QuickTime 等の単体のアプリケーションを使用することにより、 リモートの攻撃者は機密情報の盗聴や、潜在的には任意のコードの実行が可能です。
- CAN-2005-2268
javascript ダイアログボックスを偽装して、 信頼しているサイトからのダイアログボックスのように見せかけ、フィッシング (phishing) 攻撃を助長することが可能です。
- CAN-2005-2269
リモートの攻撃者が DOM ノードの特定のタグプロパティを変更することが可能です。 任意のスクリプトやコードの実行につながる可能性があります。
- CAN-2005-2270
Mozilla ブラウザファミリはベースオブジェクトを適切に複製していません。 リモートの攻撃者は任意のコードの実行が可能です。
旧安定版 (old stable) ディストリビューション (woody) にはこの問題は影響しません。
安定版 (stable) ディストリビューション (sarge) では、この問題はバージョン 1.0.4-2sarge3 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.0.6-1 で修正されています。
直ちに Mozilla Firefox パッケージをアップグレードすることを勧めます。
- CAN-2005-2260
- 修正:
-
Debian GNU/Linux 3.1 (sarge)
- ソース:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3.dsc
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3.diff.gz
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_alpha.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_alpha.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_alpha.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_amd64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_amd64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_amd64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_arm.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_arm.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_arm.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_i386.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_i386.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_i386.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_ia64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_ia64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_ia64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_hppa.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_hppa.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_hppa.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_m68k.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_m68k.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_m68k.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_mips.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_mips.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_mips.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_mipsel.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_mipsel.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_mipsel.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_powerpc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_powerpc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_powerpc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_s390.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_s390.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_s390.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_sparc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_sparc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_sparc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。
一覧にあるファイルの MD5 チェックサムは勧告の原文 (改訂版) にあります。