2020-0487: Mozilla Firefox, Firefox ESR: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2020-03-10 18:55)
- Neues Advisory
- Version 2 (2020-03-12 10:03)
- Canonical stellt für die Distributionen Ubuntu 16.04 LTS, 18.04 LTS und 19.10 Sicherheitsupdates auf die Firefox Version 74 bereit. Debian adressiert die Schwachstellen mittels Firefox ESR Sicherheitsupdate auf die Version 68.6 für Debian 8 Jessie (LTS).
- Version 3 (2020-03-12 15:20)
- Debian stellt für die Distributionen Stretch (oldstable) und Buster (stable) Sicherheitsupdates für 'firefox-esr' auf die Version 68.6 bereit, um die betreffenden Schwachstellen zu beheben.
- Version 4 (2020-03-12 17:58)
- Für SUSE Linux Enterprise Server 11 SP4 LTSS steht jetzt auch ein Sicherheitsupdate für MozillaFirefox auf Version 68.6.0 ESR (MFSA 2020-09) bereit.
- Version 5 (2020-03-13 11:22)
- Das Tor Projekt veröffentlicht die Tor Browser Version 9.0.6, die eine Aktualisierung auf die Firefox ESR Version 68.6 umfasst, um die für den ESR-Zweig relevanten Schwachstellen für den Tor Browser zu beheben.
- Version 6 (2020-03-13 20:17)
- Für die SUSE Linux Enterprise Produkte Module for Open Buildservice Development Tools und Module for Desktop Applications jeweils in Version 15 SP1 und 15 SP2 stehen Sicherheitsupdates für MozillaFirefox auf Version 68.6.0 ESR (MFSA 2020-09) bereit.
- Version 7 (2020-03-16 10:20)
- Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für MozillaFirefox auf Version 68.6.0 ESR bereit.
- Version 8 (2020-03-16 16:13)
- Red Hat veröffentlicht für die Red Hat Enterprise Linux Produkte Server, Workstation und Desktop in Version 6 und 7, Linux for x86_64 EUS 7.7, Server AUS und TUS in Version 7.7 sowie for Scientific Computing 6 Sicherheitsupdates auf die Firefox Version 68.6.0 ESR.
- Version 9 (2020-03-16 19:11)
- Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate auf die Firefox Version 68.6.0 ESR bereit.
- Version 10 (2020-03-17 10:08)
- Für Oracle Linux 8 und Red Hat Enterprise Linux 8 stehen Sicherheitsupdates bereit, mit denen Firefox ESR auf Version 68.6.0 aktualisiert wird.
- Version 11 (2020-03-20 10:24)
- Für SUSE Enterprise Storage 5, SUSE Linux Enterprise Server 12 SP1 LTSS, SP2 BCL, SP2 LTSS, SP3 BCL, SP3 LTSS, SP4 und SP5, für SUSE Linux Enterprise Server for SAP 12 SP1, SP2 und SP3, SUSE Linux Enterprise Software Development Kit 12 SP4 und SP5, sowie für SUSE OpenStack Cloud 7, 8 und Crowbar 8 stehen Sicherheitsupdates bereit, mit denen Firefox ESR auf Version 68.6.0 aktualisiert wird.
- Version 12 (2020-03-23 14:22)
- Mozilla weist darauf hin, dass die mit Firefox 74 eingeführte standardmäßige Deaktivierung von TLS 1.0 und TLS 1.1 auf unbestimmte Zeit rückgängig gemacht wird, um Zugriff auf kritische Informationsseiten zur COVID-19 zu ermöglichen, die diese Technik noch einsetzen. TLS 1.0 und TLS 1.1 gelten mittlerweile als unsicher. Die Konfiguration kann über den Eintrag 'security.tls.version.min' in 'about:config' den eigenen Bedürfnissen angepasst werden.
Betroffene Software
Office
Sicherheit
Betroffene Plattformen
Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle
Beschreibung:
Mehrere Schwachstellen ermöglichen einem entfernten Angreifer die Ausführung beliebigen Programmcodes, die Durchführung von Denial-of-Service (DoS)-Angriffen, das Darstellen falscher Informationen, das Umgehen von Sicherheitsvorkehrungen sowie das Ausspähen von Informationen. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers für einen erfolgreichen Angriff.
Die Mozilla Foundation informiert über die Schwachstellen und stellt Firefox 74 und Firefox ESR 68.6 als Sicherheitsupdates bereit.
Für Fedora 30 und 31 stehen Sicherheitsupdates auf Version 74.0 bereit, welche sich derzeit noch im Status 'pending' befinden.
Schwachstellen:
CVE-2019-20503
Schwachstelle in usersctplib ermöglicht Denial-of-Service-AngriffCVE-2020-6805
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-6806
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-6807
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-6808
Schwachstelle in Mozilla Firefox ermöglicht Darstellen falscher InformationenCVE-2020-6809
Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von InformationenCVE-2020-6810
Schwachstelle in Mozilla Firefox ermöglicht Darstellen falscher InformationenCVE-2020-6811
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen ProgrammcodesCVE-2020-6812
Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von InformationenCVE-2020-6813
Schwachstelle in Mozilla Firefox ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-6814
Schwachstellen in Mozilla Firefox, Firefox ESR und Thunderbird ermöglichen Ausführung beliebigen ProgrammcodesCVE-2020-6815
Schwachstellen in Mozilla Firefox ermöglichen Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.