详细介绍
1.修复的漏洞
·CVE-2020-15675
描述:Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 81之前版本存在安全漏洞,攻击者利用该漏洞可导致内存损坏。
·CVE-2020-26950
描述:In certain circumstances, the MCallGetProperty opcode can be emitted with unmet assumptions resulting in an exploitable use-after-free condition. This vulnerability affects Firefox < 82.0.3, Firefox ESR < 78.4.1, and Thunderbird < 78.4.2.
·CVE-2020-26971
描述:Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 中存在缓冲区错误漏洞。该漏洞源于用户提供的某些位元值没有得到适当的限制,导致某些视频驱动程序上的堆缓冲区溢出。以下产品及版本受到影响:Firefox c 84、Thnderbird < 78.6和Firefox ESR < 78.6。
·CVE-2021-23954
描述:Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 85.0版本之前存在安全漏洞。该漏洞源于在JavaScript switch语句中使用新的逻辑赋值运算符可能会导致类型混乱,从而导致内存损坏和潜在的可利用崩溃。
·CVE-2021-23998
描述:Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 存在数据伪造问题漏洞,攻击者可利用该漏洞执行欺骗攻击。以下产品及版本受到影响:Mozilla Thunderbird: 60.0, 60.2.1, 60.3, 60.3.0, 60.3.1, 60.3.2, 60.3.3, 60.4, 60.4.0, 60.5, 60.5.0, 60.5.1, 60.5.2, 60.5.3, 60.6.0, 60.6.1, 60.7.0, 60.7.1, 60.7.2, 60.8.0, 60.9.0, 60.9.1, 68.0, 68.1.0, 68.1.1, 68.1.2, 68.2.0, 68.2.1, 68.2.2, 68.3.0, 68.3.1, 68.4.1, 68.4.2, 68.5.0, 68.6.0, 68.7.0, 68.8.0, 68.8.1, 68.9.0, 68.10.0, 68.11.0, 68.12.0, 68.12.1, 78.0, 78.0.1, 78.1.0, 78.1.1, 78.2.0, 78.2.1, 78.2.2, 78.3.0, 78.3.1, 78.3.2, 78.3.3, 78.4.0, 78.4.1, 78.4.2, 78.4.3, 78.5.0, 78.5.1, 78.6.0, 78.6.1, 78.7.0, 78.7.1, 78.8.0, 78.8.1, 78.9.0, 78.9.1。
·CVE-2021-29946
描述:Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。
Mozilla Firefox 存在输入验证错误漏洞,该漏洞源于对用户提供的输入验证不足。攻击者可利用该漏洞绕过已实现的安全限制。以下产品及版本受到影响:Mozilla Thunderbird: 60.0, 60.2.1, 60.3, 60.3.0, 60.3.1, 60.3.2, 60.3.3, 60.4, 60.4.0, 60.5, 60.5.0, 60.5.1, 60.5.2, 60.5.3, 60.6.0, 60.6.1, 60.7.0, 60.7.1, 60.7.2, 60.8.0, 60.9.0, 60.9.1, 68.0, 68.1.0, 68.1.1, 68.1.2, 68.2.0, 68.2.1, 68.2.2, 68.3.0, 68.3.1, 68.4.1, 68.4.2, 68.5.0, 68.6.0, 68.7.0, 68.8.0, 68.8.1, 68.9.0, 68.10.0, 68.11.0, 68.12.0, 68.12.1, 78.0, 78.0.1, 78.1.0, 78.1.1, 78.2.0, 78.2.1, 78.2.2, 78.3.0, 78.3.1, 78.3.2, 78.3.3, 78.4.0, 78.4.1, 78.4.2, 78.4.3, 78.5.0, 78.5.1, 78.6.0, 78.6.1, 78.7.0, 78.7.1, 78.8.0, 78.8.1, 78.9.0, 78.9.1。
·CVE-2021-29984
描述:Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 存在缓冲区错误漏洞,该漏洞源于JIT 优化期间指令重新排序不正确。
·CVE-2021-29988
描述:Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 存在缓冲区错误漏洞,该漏洞源于样式处理不正确。
·CVE-2022-29912
描述:Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox存在安全特征问题漏洞,该漏洞源于通过阅读器模式发起的请求未正确省略具有SameSite属性的cookie。
·CVE-2022-34481
描述:Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 存在安全漏洞,该漏洞源于应用中的nsTArray_Impl::ReplaceElementsAt() 函数中,当要替换的元素数量对于容器来说太大时,可能会发生整数溢出。
·CVE-2022-45406
描述:Mozila Firefox 存在资源管理错误漏洞。如果在创建JavaScript全局对象时发生内存不足的情况,可能会导致一个JavaScript域被删除,而对它的引用仍存在于BaseShape中。这可能会导致使用已释放内存,进而引发潜在的崩溃漏洞。
·CVE-2023-44488
描述:libvpx中的VP9对宽度处理不当,导致与编码相关的崩溃。
·CVE-2023-6209
描述:Mozilla Firefox 存在安全漏洞,该漏洞源于存在路径遍历漏洞,可能会导致网站出现安全问题。
2.受影响的软件包
·银河麒麟高级服务器操作系统 V10 SP1
·aarch64架构:
firefox
·x86_64架构:
firefox
·银河麒麟高级服务器操作系统 V10 SP2
·aarch64架构:
firefox
·x86_64架构:
firefox
3.软件包修复版本
·银河麒麟高级服务器操作系统 V10 SP1 (aarch64、x86_64)
firefox-79.0-4.p19.ky10或以上版本
·银河麒麟高级服务器操作系统 V10 SP2 (aarch64、x86_64)
firefox-79.0-4.p19.ky10或以上版本
4.修复方法
方法一:配置源进行升级安装
1.打开软件包源配置文件,根据仓库地址进行修改。
仓库源地址:
银河麒麟高级服务器操作系统 V10 SP1
aarch64:http://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/
x86_64:http://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/
银河麒麟高级服务器操作系统 V10 SP2
aarch64:http://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/
x86_64:http://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/
2.配置完成后执行更新命令进行升级,命令如下:
yum update Packagename
方法二:下载安装包进行升级安装
通过软件包地址下载软件包,使用软件包升级命令根据受影响的软件包
列表进行升级安装, 命令如下:
yum install Packagename
3.升级完成后是否需要重启服务或操作系统:
CVE-2020-15675:需要重启 firefox 以使漏洞修复生效。
CVE-2020-26950:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2020-26971:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2021-23954:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2021-23998:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2021-29946:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2021-29984:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2021-29988:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2022-29912:需要重启 firefox 以使漏洞修复生效。
CVE-2022-34481:需要重启 firefox 以使漏洞修复生效。
CVE-2022-45406:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2023-44488:无需重启操作系统与服务即可使漏洞修复生效。
CVE-2023-6209:无需重启操作系统与服务即可使漏洞修复生效。
5.软件包下载地址
·银河麒麟高级服务器操作系统 V10 SP1
firefox(aarch64)软件包下载地址:
http://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/firefox-79.0-4.p19.ky10.aarch64.rpm
firefox(x86_64)软件包下载地址:
http://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/firefox-79.0-4.p19.ky10.x86_64.rpm
·银河麒麟高级服务器操作系统 V10 SP2
firefox(aarch64)软件包下载地址:
http://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/firefox-79.0-4.p19.ky10.aarch64.rpm
firefox(x86_64)软件包下载地址:
http://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/firefox-79.0-4.p19.ky10.x86_64.rpm
注:其他相关依赖包请到相同目录下载
6.修复验证
使用软件包查询命令,查看相关软件包版本是否与修复版本一致,如果版本一致,则说明修复成功。
sudo rpm -qa | grep Packagename