macOSでES2016を触るべくJavaScriptエンジンをインストールしようとmozjs-45.0.2のtarballをダウンロードしてビルドしたがデフォルトインストーラではライブラリが1つインストールされなかったので手動で作業して事なきを得た

ReactやNode.js華やかなりしであるが、それはともかく基礎的なES2016の学習をしようと思い、ReactでもNodeでもなくmacOS SierraにJavaScriptエンジンであるmozjsをインストールしようと血迷った。 “macOSでES2016を触るべくJavaScriptエンジンをインストールしようとmozjs-45.0.2のtarballをダウンロードしてビルドしたがデフォルトインストーラではライブラリが1つインストールされなかったので手動で作業して事なきを得た” の続きを読む

Mozilla関連で脆弱性、fixesがリリース

最近ブログを書く力(気力)が失せている…。
Mozilla関連製品の脆弱性が修正された各種パッケージがリリースされている模様。
Firefox2とFirefox3のいずれもと、SeaMonkey 1.1.13がリリースされている。

■Mozilla Releases Updates to Address Vulnerabilities in Multiple Products
http://www.us-cert.gov/current/index.html#mozilla_releases_updates_to_address

Mozilla Releases Updates to Address Vulnerabilities in Multiple Products
added November 13, 2008 at 08:34 am

Mozilla has released Firefox 2.0.0.18, Firefox 3.0.4, and SeaMonkey 1.1.13 to address multiple vulnerabilities. The impacts of these vulnerabilities include arbitrary code execution, privilege escalation, security bypass, cross-site scripting, denial of service, and information disclosure. As described in the Mozilla Foundation security advisories, some of these vulnerabilities may also affect Thunderbird.

US-CERT encourages users to review the Mozilla Foundation security advisories and apply any necessary updates to help mitigate the risks.

誤訳:
Mozillaが複数製品における脆弱性修正のための更新をリリース
掲載 2008年11月13日 AM08:34

Mozillaは複数の脆弱性を修正した、Firefox 2.0.0.18、Firefox 3.0.4、そしてSeaMonkey 1.1.13をリリースした。これらの脆弱性による影響は、任意のコード実行、特権上昇、セキュリティ機能のバイパス、クロスサイトスクリプティング、サービス拒否、そして情報漏洩などを含む。Mozilla財団のセキュリティアドバイザリの詳細によると、これら脆弱性のいくつかはThunderbirdにも影響があるだろうとしている。

US-CERTでは利用者に、リスク軽減のためにMozilla Foundation セキュリティアドバイザリの確認と、必要な更新の適用を推奨する。

Thunderbird 2.0.0.14 リリース

Thunderbird 2.0.0.14のリリースです。脆弱性の模様。
2008-14は下記のように特権昇格と任意のコード実行なんだけれど、2008-15([snip CVE]CVE-2008-1237[/snip])はメモリ破壊らしい。JavaScript実行中の問題なので、デフォルトでは無効になっているけれど、有効にはしないようにと推奨されている。Firefoxと同じエンジンですからね。でもメールでJavaScript使うことって、あるんかな?

注: Thunderbird は Firefox と同じブラウザエンジンを利用しており、JavaScript が有効になっている場合には影響を受けます。デフォルト設定では無効になっており、メールを表示する際は JavaScript を実行させないよう強く推奨します。攻撃者が、巨大な画像など JavaScript 以外の手段を通じて攻撃を成功させるためにメモリを用意できるか、といった可能性を排除するには、さらなる調査が必要となります。

ついでに、2008-20も出ている模様。4月18日だけれど。2008-15に起因するものとか。

MFSA 2008-15 ([snip CVE]CVE-2008-1237[/snip]) に書かれている JavaScript エンジンのセキュリティ問題の修正によって、安定性に関わる問題が発生し、一部のユーザがJavaScript ガベージコレクションに起因するクラッシュに遭遇していることが報告されました。これは主に安定性の問題を解決するために修正されました。私たちはこの特定のクラッシュが攻撃に利用可能なものであるということを実証できていませんが、このようなクラッシュの一部は攻撃に利用されたことが過去に明らかになっているため、このアドバイザリを発行しました。

注: このリグレッションは Firefox 2.0.0.13 で生じたもので、Thunderbird については公開されたバージョンへの影響はありません。Thunderbird 2.0.0.14 には MFSA 2008-15 の適切な修正が含まれています。ただし MFSA 2008-15 のアドバイザリに書かれているように、Thunderbird ユーザは JavaScript を有効にしている場合しか影響を受けません。

というわけで、US-CERT Current Activity。

Mozilla Releases Thunderbird 2.0.0.14
added May 9, 2008 at 09:11 am

Mozilla has released Thunderbird 2.0.0.14 to address multiple vulnerabilities. These vulnerabilities may allow an attacker to escalate privileges or execute arbitrary code.

US-CERT encourages users to review Mozilla Foundation Security Advisories 2008-14 and 2008-15 and to update to Thunderbird 2.0.0.14.

誤訳:
MozillaがThunderbird 2.0.0.14をリリース
掲載 2008年5月9日 AM09:11

Mozillaは、複数の脆弱性を修正したThunderbird 2.0.0.14をリリースした。これらの脆弱性は、攻撃者に特権昇格や任意のコード実行を許可する可能性がある。

US-CERTは、利用者にMozilla Foundation セキュリティアドバイザリ 2008-14および2008-15の確認と、Thunderbird 2.0.0.14への更新を奨励する。

[ad#ultrah]

MozillaとCisco

またまたUS-CERTが2件立て続けに出た模様。
まずはMozilla関連の[sniplet 誤訳]から。

I. Description

The Mozilla and the SeaMonkey projects have released new versions of Firefox, Thunderbird and SeaMonkey to address several vulnerabilities. Further details about these vulnerabilities are available in Mozilla Foundation Security Advisories and the Vulnerability Notes Database. An attacker could exploit these vulnerabilities by convincing a user to view a specially crafted HTML document, such as a web page or an HTML email message.

II. Impact

While the impacts of the individual vulnerabilities vary, the most severe could allow a remote, unauthenticated attacker to execute arbitrary code on a vulnerable system. An attacker may also be able to cause a denial of service or execute cross-site scripting attacks.

III. Solution
Upgrade

These vulnerabilities are addressed in Mozilla Firefox 2.0.0.13, Thunderbird 2.0.0.13, and SeaMonkey 1.1.9.

Disable JavaScript

Some of these vulnerabilities can be mitigated by disabling JavaScript or by using the NoScript extension. For more information about configuring Firefox, please see the Securing Your Web Browser document. Thunderbird disables JavaScript by default.

誤訳:
I. 詳細
MozillaとSeaMonkeyプロジェクトは、いくつかの脆弱性が注意喚起されているFirefox、Thunderbird、SeaMonkeyの最新版をリリースした。これらの脆弱性に関するより詳細な情報はMozilla Foundation セキュリティアドバイザリ(Mozilla Foundation Security AdvisoriesVulnerability Notes Database(脆弱性注意喚起データベース)で確認できる。攻撃者は、細工されたHTMLドキュメントや、そういったウェブページやHTMLメールのメッセージを見るようユーザをそそのかすことにより、これらの脆弱性を悪用できる。

II. 影響
個々の脆弱性の影響のうち、かなり深刻なものはリモートの未認証の攻撃者に、脆弱性のあるシステム上で任意のコードの実行を許可することができる。攻撃者はサービス拒否やクロスサイトスクリプティング攻撃を引き起こせる可能性もある。

III. 解決方法
アップグレード

これらの脆弱性はMozilla Firefox 2.0.0.13、Thunderbird 2.0.0.13、SeaMonkey 1.1.9において修正されている。

JavaScriptの無効化

いくつかの脆弱性はJavaScriptやNoScript拡張機能を無効にすることでリスクを軽減させることができる。Firefoxの設定方法に関するより詳細な情報は、Securing Your Web Browserの文を参照されたい。Thunderbirdは出荷時設定ではJavaScriptが無効になっている。

そしてCisco IOS。
特に基幹のswitching hubとかは肝だから、IOSのバージョンアップは慎重にやらないと怖いですよね。

I. Description

Cisco Security Advisory cisco-sa-20080326-bundle addresses a number of vulnerabilities affecting Cisco IOS 12.0, 12.1, 12.2, 12.3, and 12.4. Further details are available in the US-CERT Vulnerability Notes Database.

II. Impact

The impacts of these vulnerabilities vary. Potential consequences include disclosure of sensitive information and denial of service.

III. Solution
Upgrade

These vulnerabilities are addressed in Cisco Security Advisory cisco-sa-20080326-bundle.

誤訳:
I. 詳細
Cisco Secirity Advisory cisco-sa-20080326-bundleは、CIsco IOS 12.0、12.1、12.2、12.3、12.4に影響のある複数の脆弱性を注意喚起している。詳細はUS-CERTのVulnerability Notes Database(脆弱性注意喚起データベース)で確認できる。

II. 影響
これらの脆弱性は複数の影響を持つ。機密情報の流出やサービス拒否を潜在的な結果として含んでいる。

III. 解決方法
アップグレード

これらの脆弱性は、 Cisco Security Advisory cisco-sa-20080326-bundleにて対処されている。