[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Fedora] Schwachstellen in Galeon/Mozilla Firefox vor Version 2.0.0.8 - FEDORA-2007-2697

To: win-sec-ssc@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Subject: [Fedora] Schwachstellen in Galeon/Mozilla Firefox vor Version 2.0.0.8 - FEDORA-2007-2697
From: WiN Site Security Contacts <win-sec-ssc@xxxxxxxxxxxxxxxxx>
Date: Tue, 30 Oct 2007 12:07:31 +0100 (CET)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: MD5

Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Galeon basiert auf der Mozilla Browser Engine.

CVE-2007-1095 - Schwachstelle bei der Ausfuehrung von onUnload
Event-Handlers in Firefox

  Bei der Ausfuehrung von onUnload Event-Handlers in Firefox existiert
  eine Schwachstelle. Ein entfernter Angreifer kann diese Schwachstelle
  unter Umstaenden ausnutzen, um an eventuell vertrauliche URLs in
  Bookmarks zu gelangen und den Benutzer ohne dessen Interaktion und
  Wissen zu einer anderen Seite weiterzuleiten.

CVE-2007-2292 - Firefox Schwachstelle bei Bearbeitung von HTTP Request
fuer Digest Authentication

  Bei der Bearbeitung von HTTP Requests fuer Digest Authentication kann
  ein Angreifer beliebige Eintraege in den Header des HTTP Requests der
  Antwort einfuegen (Http Request Splitting). Diese Schwachstelle kann
  unter Umstaenden ausgenutzt werden, um Inhalte eines Proxies unter
  einer manipulierten URL einzufuegen (HTTP Request Smuggling).

CVE-2007-3511 - Schwachstelle bei der Bearbeitung von onkeydown Events
in Mozilla Firefox

  Bei der Bearbeitung von onkeydown Events in Mozilla Firefox kann der
  Fokus auf ein Formular zum Hochladen von Dateien (file upload form)
  gelenkt werden. Diese Schwachstelle kann von einem entfernten
  Angreifer unter Umstaenden ausgenutzt werden, um an Dateien des
  Benutzers zu gelangen, deren vollstaendiger Pfad bekannt ist.

CVE-2007-5334 - Schwachstelle bei der Darstellung von XUL Dokumenten im
Firefox Browser

  Bei der Darstellung von XUL Markup Language Dokumenten im Firefox
  Browser kann die Titelzeile des Fensters verschleiert werden. Dieser
  Fehler kann beispielsweise Phishing-Angriffe unterstuetzen.

CVE-2007-5337 - Schwachstelle in den URL-Handlern fuer smb: und sftp: im
Mozilla Firefox

  In den URL-Handlern fuer smb: und sftp: im Mozilla Firefox sind
  Schwachstellen vorhanden. Kann der lokale Benutzer ohne weitere
  Interaktion auf einen in einer derartigen URL angegebenen Server
  zugreifen, ist der Angreifer in der Lage, auf Dateien des Benutzers
  auf dem entfernten Rechner zuzugreifen. Voraussetzung zur Ausnutzung
  der Schwachstelle ist, dass der Benutzer eine HTML-Seite des
  Angreifers oeffnet.

CVE-2007-5338 - Schwachstelle bei der Ausfuehrung von XPCNativeWrappers
in Firefox

  Ein XPCNativeWrapper ist ein JavaScript, das die Ausfuehrung anderer
  Script-Objekte mit eingeschraenkten Privilegien ermoeglicht. Dies ist
  beispielsweise dann erforderlich, wenn privilegierter
  chrome-Scriptcode auf Schnittstellen des Document Object Models (DOM)
  zugreift, durch die potentiell Javascript-Code aus der HTML-Seite
  ausgefuehrt wird.

  Ein Script-Objekt im Mozilla Firefox kann XPCNativeWrapper Objekte in
  einer Art und Weise manipulieren, dass Javascript-Code eines
  Angreifers mit den Privilegien von Chrome ausgefuehrt wird. Ein
  entfernter Angreifer kann diese Schwachstelle mittels einer speziell
  konstruierten HTML-Seite und darin enthaltenen Scriptcodes ausnutzen,
  um beliebige Befehle mit den Rechten des Benutzers auszufuehren.

CVE-2007-5339 - Schwachstellen in der Mozilla Firefox Browser Engine

  In der Browser Engine vom Mozilla Firefox vor Versione 2.0.0.8 sind
  mehrere Schwachstellen vorhanden, die zu einer Verletzung von
  Speicherstrukturen fuehren. Ein entfernter Angreifer kann diese
  Schwachstellen mittels einer speziell konstruierten HTML-Seite
  ausnutzen, um den Browser zum Absturz zu bringen. Potentiell
  ermoeglichen diese Schwachstellen die Ausfuehrung beliebigen Codes mit
  den Rechten des Benutzers. Die Ausnutzung dieser Schwachstellen kann
  durch das Abschalten von JavaScript verhindert werden.

CVE-2007-5340 - Schwachstellen in der Mozilla Firefox JavaScript Engine

  In der JavaScript Engine vom Mozilla Firefox vor Versione 2.0.0.8 sind
  mehrere Schwachstellen vorhanden, die zu einer Verletzung von
  Speicherstrukturen fuehren. Ein entfernter Angreifer kann diese
  Schwachstellen mittels einer speziell konstruierten HTML-Seite
  ausnutzen, um den Browser zum Absturz zu bringen. Potentiell
  ermoeglichen diese Schwachstellen die Ausfuehrung beliebigen Codes mit
  den Rechten des Benutzers.

CVE-2006-2894 - Schwachstelle in der JavaScript Implementierung von
Mozilla Firefox

  Ein entfernter Angreifer kann beliebige Dateien vom System des
  Benutzers laden. Diese Schwachstelle ist ausnutzbar, in dem der
  Benutzer dazu gebracht wird, einen Text in einen Upload Dialog
  einzugeben, und der Angreifer fuer bestimmte Eingabezeichen die
  KeyPress-Events in JavaScript widerruft.

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket galeon

  Fedora 7

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  https://www.redhat.com/archives/fedora-package-announce/2007-October/msg00418.html


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
   Andreas Bunten, DFN-CERT
- -- 
Andreas Bunten (CSIRT), +49 40 808077-555

DFN-CERT Services GmbH, https://www.dfn-cert.de,  Phone  +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805,  Ust-IdNr.:  DE 232129737
Heidenkampsweg 41, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2007-2697
2007-10-29 19:07:13.532017
- --------------------------------------------------------------------------------

Name        : galeon
Product     : Fedora 7
Version     : 2.0.3
Release     : 12.fc7
URL         : http://galeon.sourceforge.net/
Summary     : GNOME2 Web browser based on Mozilla
Description :
Galeon is a web browser built around Gecko (Mozilla's rendering
engine) and Necko (Mozilla's networking engine). It's a GNOME web
browser, designed to take advantage of as many GNOME technologies as
makes sense. Galeon was written to do just one thing - browse the web.

- --------------------------------------------------------------------------------
Update Information:

Rebuild Miro and galeon for new Firefox (2.0.0.8).
- --------------------------------------------------------------------------------
ChangeLog:

* Wed Oct 24 2007 Alex Lancaster <alexl@xxxxxxxxxxxxxxxxxxxxx> - 2.0.3-12
- - Rebuild with gecko-libs 1.8.1.8 (firefox 2.0.0.8)
* Wed Sep 19 2007 Denis Leroy <denis@xxxxxxxxxxxxx> - 2.0.3-11
- - Added patch to fix image loading preference
* Wed Jul 18 2007 Denis Leroy <denis@xxxxxxxxxxxxx> - 2.0.3-10
- - Rebuild with gecko-libs 1.8.1.5
* Fri Jun  1 2007 Denis Leroy <denis@xxxxxxxxxxxxx> - 2.0.3-9
- - Rebuild with gecko-libs 1.8.1.4
- --------------------------------------------------------------------------------
References:

  [ 1 ] Bug #351091 - Updating to Firefox 2.0.0.8 breaks dependencies for Galeon
        https://bugzilla.redhat.com/show_bug.cgi?id=351091
  [ 2 ] Bug #350541 - Miro is preventing the upgrade of firefox.
        https://bugzilla.redhat.com/show_bug.cgi?id=350541
- --------------------------------------------------------------------------------
Updated packages:

7e37d82968e514aa76437e1769cbf5a0ae6124cd galeon-debuginfo-2.0.3-12.fc7.ppc64.rpm
df1fbb131f023818e89258424f06a0d1732b5f68 galeon-2.0.3-12.fc7.ppc64.rpm
6262f13982048f6135ef71d913f94f87bf8f54a3 galeon-2.0.3-12.fc7.i386.rpm
f66cd663ca0d4074dbb155c139249c120c04f83d galeon-debuginfo-2.0.3-12.fc7.i386.rpm
01bd6c5adfc381988708935b36122458cbc00810 galeon-debuginfo-2.0.3-12.fc7.x86_64.rpm
ed452d62facf245c5c2b3277a8627012bc7a488e galeon-2.0.3-12.fc7.x86_64.rpm
393d99913f850df9659a738ad800475aa4116995 galeon-debuginfo-2.0.3-12.fc7.ppc.rpm
d022724595d67132b2d24a6326120f683b29a865 galeon-2.0.3-12.fc7.ppc.rpm
2a520b06b32091bbf963e56a5b344aee9ba2bf97 galeon-2.0.3-12.fc7.src.rpm

This update can be installed with the "yum" update program.  Use 
su -c 'yum update galeon' 
at the command line.  For more information, refer to "Managing Software
with yum", available at http://docs.fedoraproject.org/yum/.
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iQEVAwUBRycQcxYd1iQZmhQQAQEebAf/b95MNtmBaSQVxkd9UuASyqPDMUz1j4Ck
O87yOpI0i36CMiZgmiuMiciQC3XecmZE7keovr+TR6iaSa79puL5Zq1bixGjpAxa
U3VqV9S0i4+24JEL6cIBjCqRknHiyoJKOrdECYjK67pozTxz5xonu7qNIOZCpfFk
lUFqoXmi9Nk7UmieThHGyOlCHocEygdo793bejhA/RWgJITZbtV6u0UIIhmHYq02
WL2Ay4Y9hx7VxmQ+RoaiN0lv3h8L8Qvr0m/G4cDZ/hJ/7AzEnHGgQ35DYfIL4ccw
ZjF2zTK8spP80hJ33U4d6HGRvHkZlITsc0QYWPreMl4fhcXGvL5Cug==
=LTzl
-----END PGP SIGNATURE-----
Prev by Date: [Fedora] Schwachstellen in openvrml/Mozilla Firefox vor Version 2.0.0.8 - FEDORA-2007-2686
Next by Date: [Fedora] Mehrere Schwachstellen in Miro/Mozilla Firefox vor Version 2.0.0.8 - FEDORA-2007-2697
Previous by thread: [Fedora] Schwachstellen in openvrml/Mozilla Firefox vor Version 2.0.0.8 - FEDORA-2007-2686
Next by thread: [Fedora] Mehrere Schwachstellen in Miro/Mozilla Firefox vor Version 2.0.0.8 - FEDORA-2007-2697
Index(es):
- Date
- Thread