Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 8 (27.09.18):
Für SUSE Linux Enterprise Module for Desktop Applications 15 steht ein
Sicherheitsupdate für MozillaFirefox auf Version 60.2 ESR bereit.
Version 7 (25.09.18):
Für Oracle Linux 6 steht ein Sicherheitsupdate für Firefox auf Version
60.2 ESR bereit.
Version 6 (14.09.18):
Für Ubuntu 14.04 LTS, 16.04 LTS und 18.04 LTS steht ein neues
Sicherheitsupdate bereit, mit dem durch das erste Update USN-3761-1
aufgetretene Regressionen behoben werden.
Version 5 (13.09.18):
Für Oracle Linux 7 steht ein Sicherheitsupdate bereit, mit dem Firefox ESR
auf Version 60.2.0 aktualisiert wird.
Version 4 (12.09.18):
Für Red Hat Enterprise Linux 6 und 7 stehen Sicherheitsupdates bereit, mit
denen Firefox ESR auf Version 60.2 aktualisiert wird. Diese Updates stehen
damit unter anderem für Red Hat Enterprise Linux Desktop, Server und
Workstation 6 und 7, für Red Hat Enterprise Linux for Scientific Computing
6, für Red Hat Enterprise Linux for ARM 64 7 und für Red Hat Enterprise
Linux Server Extended Update Support 7.5 zur Verfügung.
Version 3 (10.09.18):
Für openSUSE Leap 42.3 und 15.0 sowie Debian Stretch (stable) stehen
Sicherheitsupdates für Fireofx ESR auf Version 60.2 bereit. Debian weist
darauf hin, dass die umfangreichen Änderungen beim damit erfolgten
Versionssprung von Versionszweig 52.x dazu geführt haben, dass einige
Erweiterungen für Thunderbird nicht mehr funktionieren. Darüber hinaus
werden bestimmte Architekturen aktuell noch nicht unterstützt (armel,
armhf, mips, mips64el, mipsel).
Version 2 (07.09.18):
Für Ubuntu 14.04 LTS, 16.04 LTS und 18.04 LTS stehen Sicherheitsupdates
für Firefox auf Version 62.0 bereit.
Version 1 (06.09.18):
Neues Advisory
Mehrere Schwachstellen in Mozilla Firefox, Firefox ESR und dem Tor Browser
ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung
beliebigen Programmcodes und die Darstellung falscher Informationen. Ein
lokaler, nicht authentisierter Angreifer kann ebenfalls vergleichbare
Angriffe ausführen und darüber hinaus Informationen ausspähen. Eine der
Schwachstellen ermöglicht einem entfernten Angreifer das Umgehen von
Sicherheitsvorkehrungen, wenn er ein betroffenes System vorher lokal
manipulieren konnte oder einen Benutzer des Systems zur Manipulation
desselben verleiten kann.
Die Mozilla Foundation stellt Mozilla Firefox 62 sowie Firefox ESR 60.2 zur
Behebung der Schwachstellen bereit. Der Hersteller weist darauf hin, dass
einzelne Schwachstellen nur Benutzer von Windows (CVE-2018-12381), macOS und
Linux (CVE-2017-16541) oder Google Android (CVE-2018-12382) betreffen.
Auf Basis von Firefox ESR 60.2 wird zeitgleich der Tor Browser 8.0 zur
Verfügung gestellt. Dieser wird mit Tor 0.3.3.9, OpenSSL 1.0.2p und weiteren
Härtungen gegen häufige Angriffe ausgeliefert.
Für Fedora 27 und 28 stehen Sicherheitsupdates auf Firefox 62 im Status
‘testing’ (Fedora 27) und ‘pending’ (Fedora 28) bereit.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1800]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
