-
トレーニング
レッドハット認定資格・試験
コース一覧 Red Hat Certified System Administrator Red Hat Certified Engineer Certificates of Expertise Red Hat Certified Virtualization Administrator Red Hat Certified Datacenter Specialist Red Hat Certified Security Specialist Red Hat Certified Architect JBoss Certified Application Administrator
 |
中(Moderate):thunderbirdのセキュリティアップデート
| アップデートID: | RHSA-2009:1126-1 |
|---|---|
| タイプ: | Security Advisory |
| 重大性: | 中/Moderate |
| 発行日: | 2009年6月25日 |
| 最終更新日: | 2009年6月25日 |
| 影響のある製品: |
RHEL Optional Productivity Applications (v. 5 server) RHEL Optional Productivity Applications EUS (v. 5.3.z server) Red Hat Enterprise Linux Desktop (v. 5 client) |
| OVAL: | https://rhn.redhat.com/errata/RHSA-2009-1126.html |
| CVEs (cve.mitre.org): |
CVE-2009-1303 CVE-2009-1305 CVE-2009-1306 CVE-2009-1307 CVE-2009-1308 CVE-2009-1309 CVE-2009-1392 CVE-2009-1833 CVE-2009-1836 CVE-2009-1838 |
詳細
複数のセキュリティ問題を修正したthunderbirdのアップデートパッケージがRed Hat Enterprise Linux 5で利用可能になりました。
このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中(Moderate)」のセキュリティ問題と評価されています。
Mozilla Thunderbirdは、スタンドアロンのメールおよびニュースグループクライアントです。
不正なHTMLメールコンテンツの処理で複数の欠陥が見つかりました。
悪意のあるコンテンツを含んだHTMLメールメッセージにより、Thunderbirdがクラッシュしたり、Thunderbirdを実行しているユーザとして任意のコードが実行されたりする可能性があります。
(CVE-2009-1392、CVE-2009-1303、CVE-2009-1305、CVE-2009-1833、CVE-2009-1838)
不正な形式のHTMLメールの内容を処理する方法に複数の欠陥が見つかりました。悪意のある内容を含んだHTMLメールメッセージが、そのメールメッセージのコンテキスト内で任意のJavaScriptを実行して、ユーザを欺くためのデータを示したり、ログイン証明のような機密情報を盗んだりする可能性がありました。
(CVE-2009-1306、CVE-2009-1307、CVE-2009-1308、CVE-2009-1309)
Thunderbirdでのプロキシサーバから返されたエラー応答の処理で欠陥が見つかりました。プロキシサーバを使用しているThunderbirdのインスタンスに対して攻撃者が「man-in-the-middle」攻撃を実行できれば、Thunderbirdが表示しているサイトから機密情報を盗める可能性がありました。
(CVE-2009-1836)
注:Thunderbirdでは、JavaScriptのサポートはデフォルトでは無効になっています。上記の問題は、JavaScriptを有効にしないかぎり悪用できません。
すべてのThunderbirdのユーザは、これらの問題を解決する上記アップデートパッケージにアップグレードしてください。アップデートを有効にするためには、動作中のすべてのThunderbirdのインスタンスを再起動する必要があります。
解決法
このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。
このアップデートは、Red Hat Networkを通じて入手できます。
アップデートパッケージ
| RHEL Optional Productivity Applications (v. 5 server) | |
| SRPMS: | |
| thunderbird-2.0.0.22-2.el5_3.src.rpm | b708ab5dc2e988dba47dff5d4b66dab0 |
| IA-32: | |
| thunderbird-2.0.0.22-2.el5_3.i386.rpm | 68e36748206b8e40e23d8ae32cd3c628 |
| x86_64: | |
| thunderbird-2.0.0.22-2.el5_3.x86_64.rpm | 35f2dd0c3bbaf905c6c2582b9c6440bc |
| RHEL Optional Productivity Applications EUS (v. 5.3.z server) | |
| SRPMS: | |
| thunderbird-2.0.0.22-2.el5_3.src.rpm | b708ab5dc2e988dba47dff5d4b66dab0 |
| IA-32: | |
| thunderbird-2.0.0.22-2.el5_3.i386.rpm | 68e36748206b8e40e23d8ae32cd3c628 |
| x86_64: | |
| thunderbird-2.0.0.22-2.el5_3.x86_64.rpm | 35f2dd0c3bbaf905c6c2582b9c6440bc |
| Red Hat Enterprise Linux Desktop (v. 5 client) | |
| SRPMS: | |
| thunderbird-2.0.0.22-2.el5_3.src.rpm | b708ab5dc2e988dba47dff5d4b66dab0 |
| IA-32: | |
| thunderbird-2.0.0.22-2.el5_3.i386.rpm | 68e36748206b8e40e23d8ae32cd3c628 |
| x86_64: | |
| thunderbird-2.0.0.22-2.el5_3.x86_64.rpm | 35f2dd0c3bbaf905c6c2582b9c6440bc |
| (The unlinked packages above are only available from the Red Hat Network) | |
バグフィックス (詳細は、bugzilla/バグジラ[英語]を御覧ください。)
456202 - Launch thunderbird with option "-contentLocale" <locale> will get warning message
496253 - CVE-2009-1303 Firefox 2 and 3 Layout engine crash
496256 - CVE-2009-1305 Firefox 2 and 3 JavaScript engine crash
496262 - CVE-2009-1306 Firefox jar: scheme ignores the content-disposition: header on the inner URI
496263 - CVE-2009-1307 Firefox Same-origin violations when Adobe Flash loaded via view-source: protocol
496266 - CVE-2009-1308 Firefox XSS hazard using third-party stylesheets and XBL bindings
496267 - CVE-2009-1309 Firefox Same-origin violations in XMLHttpRequest and XPCNativeWrapper.toString
503568 - CVE-2009-1392 Firefox browser engine crashes
503570 - CVE-2009-1833 Firefox JavaScript engine crashes
503578 - CVE-2009-1836 Firefox SSL tampering via non-200 responses to proxy CONNECT requests
503580 - CVE-2009-1838 Firefox arbitrary code execution flaw
参照
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1303
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1305
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1306
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1307
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1308
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1309
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1392
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1833
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1836
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1838
http://www.redhat.com/security/updates/classification/#moderate
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1305
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1306
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1307
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1308
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1309
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1392
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1833
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1836
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1838
http://www.redhat.com/security/updates/classification/#moderate
ここに在るパッケージはセキュリティの為、Red Hat, Inc. によって、GPG認証されています。
認証キー及び詳細は以下を御覧下さい。
https://www.redhat.com/security/team/key/#package
The Red Hat security contact is secalert@redhat.com. More contact details at http://www.redhat.com/security/team/contact/
- Connect:
