Bug 7556 - [UPDATE REQUEST] firefox, firefox-l10n 50.0 -> 50.0.2
: [UPDATE REQUEST] firefox, firefox-l10n 50.0 -> 50.0.2
Status: VERIFIED FIXED
Product: Desktop Bugs
Classification: ROSA Desktop
Component: Main Packages
: Fresh
: All Linux
: Normal normal
: ---
Assigned To: ROSA Linux Bugs
: ROSA Linux Bugs
:
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2016-12-01 00:19 MSK by Алзим
Modified: 2016-12-07 13:19 MSK (History)
3 users (show)

See Also:
RPM Package:
ISO-related:
Bad POT generating:
Upstream:
vladimir.potapov: qa_verified+
andrey.bondrov: published+


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Алзим 2016-12-01 00:19:45 MSK
Доступен корректирующий выпуск Firefox 50.0.1 c устранением уязвимости (CVE-2016-9078), которой присвоен критический уровень опасности. Уязвимость проявляется только в Firefox 49 и 50, ESR-ветка проблеме не подвержена.

Перенаправление запроса на URL с префиксом "data:" при определённом стечении обстоятельств приводит к обработке содержимого "data:" в контексте домена (origin), с которого был выполнен редирект. Воспользовавшись этой недоработкой атакущий может обойти привязку к домену источника (same-origin) и загрузить свои ресурсы в контексте чужого домена. Например, продемонстрирована возможность применения описанного метода для установки cookie для стороннего домена. 

http://www.opennet.ru/opennews/art.shtml?num=45577
Comment 3 Vladimir Potapov 2016-12-02 08:22:07 MSK
The update is sent to expanded testing
******************************************
Comment 5 Vladimir Potapov 2016-12-03 16:29:02 MSK
Из подозрительного:

в логах:
WARNING: Python.h not found. Install Python development headers.
Error processing command. Ignoring because optional. (optional:setup.py:python/psutil:build_ext:--inplace)

checking whether the C compiler supports -Wthread-safety... no
(как мы помним, проблемы начались с включения в огнелисе многозадачности...)

в спеке федоры:
nspr >= 4.13.1 (у нас 4.12-1)
nss >= 3.27.2 (у нас 3.27.1)
sqlite >= 3.14.2 (у нас 3.13.0)
Comment 6 Vladimir Potapov 2016-12-06 19:00:40 MSK
firefox-50.0.2-1
https://abf.io/build_lists/2762340
https://abf.io/build_lists/2762341

firefox-l10n-50.0.2-1
https://abf.io/build_lists/2762364
https://abf.io/build_lists/2762365

********************************* Advisory ***********************
Fix critical secure issues
******************************************************************
QA Verified