thunderbird-128.13.0-3.el8_10.ML.1

エラータID: AXSA:2025-10749:19

リリース日: 
2025/08/18 Monday - 18:00
題名: 
thunderbird-128.13.0-3.el8_10.ML.1
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefox および Thunderbird には、リモートの攻撃者により、
情報の漏洩、データ破壊、およびサービス拒否攻撃を可能とする
脆弱性が存在します。(CVE-2025-8027)

- Firefox および Thunderbird には、リモートの攻撃者により、
情報の漏洩、データ破壊、およびサービス拒否攻撃を可能とする
脆弱性が存在します。(CVE-2025-8028)

- Firefox および Thunderbird には、リモートの攻撃者により、
情報の漏洩、およびデータ破壊を可能とする脆弱性が存在します。
(CVE-2025-8029)

- Firefox および Thunderbird には、エスケープ処理が不十分である
問題があるため、リモートの攻撃者により、予期しないコードの実行を
可能とする脆弱性が存在します。(CVE-2025-8030)

- Firefox および Thunderbird の Basic 認証機能には、リモートの
攻撃者により、認証情報の漏洩を可能とする脆弱性が存在します。
(CVE-2025-8031)

- Firefox および Thunderbird の XSLT 読み込み機能には、リモート
の攻撃者により、情報の漏洩、およびデータ破壊を可能とする脆弱性が
存在します。(CVE-2025-8032)

- Firefox および Thunderbird の JavaScript エンジンには、NULL
ポインタデリファレンスの問題があるため、リモートの攻撃者により、
情報の漏洩を可能とする脆弱性が存在します。(CVE-2025-8033)

- Firefox および Thunderbird には、メモリ領域の範囲外アクセスの
問題があるため、リモートの攻撃者により、任意のコードの実行を可能
とする脆弱性が存在します。(CVE-2025-8034)

- Firefox および Thunderbird には、メモリ領域の範囲外アクセスの
問題があるため、リモートの攻撃者により、任意のコードの実行を可能
とする脆弱性が存在します。(CVE-2025-8035)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2025-8027
On 64-bit platforms IonMonkey-JIT only wrote 32 bits of the 64-bit return value space on the stack. Baseline-JIT, however, read the entire 64 bits. This vulnerability affects Firefox < 141, Firefox ESR < 115.26, Firefox ESR < 128.13, Firefox ESR < 140.1, Thunderbird < 141, Thunderbird < 128.13, and Thunderbird < 140.1.
CVE-2025-8028
On arm64, a WASM `br_table` instruction with a lot of entries could lead to the label being too far from the instruction causing truncation and incorrect computation of the branch address. This vulnerability affects Firefox < 141, Firefox ESR < 115.26, Firefox ESR < 128.13, Firefox ESR < 140.1, Thunderbird < 141, Thunderbird < 128.13, and Thunderbird < 140.1.
CVE-2025-8029
Firefox executed `javascript:` URLs when used in `object` and `embed` tags. This vulnerability affects Firefox < 141, Firefox ESR < 128.13, Firefox ESR < 140.1, Thunderbird < 141, Thunderbird < 128.13, and Thunderbird < 140.1.
CVE-2025-8030
Insufficient escaping in the “Copy as cURL” feature could potentially be used to trick a user into executing unexpected code. This vulnerability affects Firefox < 141, Firefox ESR < 128.13, Firefox ESR < 140.1, Thunderbird < 141, Thunderbird < 128.13, and Thunderbird < 140.1.
CVE-2025-8031
The `username:password` part was not correctly stripped from URLs in CSP reports potentially leaking HTTP Basic Authentication credentials. This vulnerability affects Firefox < 141, Firefox ESR < 128.13, Firefox ESR < 140.1, Thunderbird < 141, Thunderbird < 128.13, and Thunderbird < 140.1.
CVE-2025-8032
XSLT document loading did not correctly propagate the source document which bypassed its CSP. This vulnerability affects Firefox < 141, Firefox ESR < 128.13, Firefox ESR < 140.1, Thunderbird < 141, Thunderbird < 128.13, and Thunderbird < 140.1.
CVE-2025-8033
The JavaScript engine did not handle closed generators correctly and it was possible to resume them leading to a nullptr deref. This vulnerability affects Firefox < 141, Firefox ESR < 115.26, Firefox ESR < 128.13, Firefox ESR < 140.1, Thunderbird < 141, Thunderbird < 128.13, and Thunderbird < 140.1.
CVE-2025-8034
Memory safety bugs present in Firefox ESR 115.25, Firefox ESR 128.12, Thunderbird ESR 128.12, Firefox ESR 140.0, Thunderbird ESR 140.0, Firefox 140 and Thunderbird 140. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 141, Firefox ESR < 115.26, Firefox ESR < 128.13, Firefox ESR < 140.1, Thunderbird < 141, Thunderbird < 128.13, and Thunderbird < 140.1.
CVE-2025-8035
Memory safety bugs present in Firefox ESR 128.12, Thunderbird ESR 128.12, Firefox ESR 140.0, Thunderbird ESR 140.0, Firefox 140 and Thunderbird 140. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 141, Firefox ESR < 128.13, Firefox ESR < 140.1, Thunderbird < 141, Thunderbird < 128.13, and Thunderbird < 140.1.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. thunderbird-128.13.0-3.el8_10.ML.1.src.rpm
    MD5: 79c4c13f81e5a9ef2d1d86d4a57a8a0f
    SHA-256: d77ff6da46ef33d76db9d853d542d7e91b6adedcc7a283a44228094031bcd4d7
    Size: 854.50 MB

Asianux Server 8 for x86_64
  1. thunderbird-128.13.0-3.el8_10.ML.1.x86_64.rpm
    MD5: e4c1a18d4169eb72f84c4cd0a5bcf351
    SHA-256: 0257c7659e677f520417d6ef205fe53fb58a3e488933742c56a6a91b027bc771
    Size: 123.19 MB