#55701 – Версия пакета firefox-esr сильно устарела и содержит уязвимости

Bug 55701 - Версия пакета firefox-esr сильно устарела и содержит уязвимости

Summary: Версия пакета firefox-esr сильно устарела и содержит уязвимости

Status:	CLOSED FIXED

Alias:	None

Product:	Branch p10
Classification:	Unclassified
Component:	firefox-esr (show other bugs)
Version:	не указана
Hardware:	x86_64 Linux

Importance:	P5 blocker
Assignee:	pav@altlinux.org
QA Contact:	qa-p10@altlinux.org

URL:
Keywords:

Depends on:
Blocks:

Reported:	2025-08-22 21:58 MSK by Marcus
Modified:	2025-12-03 14:43 MSK (History)
CC List:	4 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Marcus 2025-08-22 21:58:12 MSK

Актуальная версия Firefox ESR ветки 128.X на момент создания обращения: 128.14.0. В репозитории же - версия 128.10.1 (не обновлялась с 21 мая 2025 г.). За это время в Firefox ESR ветки 128.X были обнаружены и устранены следующие уязвимости:
CVE-2025-5283: Double-free in libvpx encoder (критичная)
CVE-2025-6424: Use-after-free in FontFaceSet (высокая)
CVE-2025-8027: JavaScript engine only wrote partial return value to stack (высокая)
CVE-2025-8028: Large branch table could lead to truncated instruction (высокая)
CVE-2025-8034: Memory safety bugs (высокая)
CVE-2025-8035: Memory safety bugs (высокая)
CVE-2025-9179: Sandbox escape due to invalid pointer in the Audio/Video: GMP component (высокая)
CVE-2025-9180: Same-origin policy bypass in the Graphics: Canvas2D component (высокая)
CVE-2025-9185: Memory safety bugs (высокая)
CVE-2025-5263: Error handling for script execution was incorrectly isolated from web content (средняя)
CVE-2025-5264: Potential local code execution in “Copy as cURL” command (средняя)
CVE-2025-5265: Potential local code execution in “Copy as cURL” command (средняя)
CVE-2025-5266: Script element events leaked cross-origin resource status (средняя)
CVE-2025-5268: Memory safety bugs (средняя)
CVE-2025-5269: Memory safety bug (средняя)
CVE-2025-6425: The WebCompat WebExtension shipped with Firefox exposed a persistent UUID (средняя)
CVE-2025-6429: Incorrect parsing of URLs (средняя)
CVE-2025-6430: Content-Disposition header ignored when a file is included in an embed or object tag (средняя)
CVE-2025-8029: javascript: URLs executed on object and embed tags (средняя)
CVE-2025-8030: Potential user-assisted code execution in “Copy as cURL” command (средняя)
CVE-2025-8031: Incorrect URL stripping in CSP reports (средняя)
CVE-2025-8032: XSLT documents could bypass CSP (средняя)
CVE-2025-9181: Uninitialized memory in the JavaScript Engine component (средняя)
CVE-2025-5267: Clickjacking vulnerability could have led to leaking saved payment card details (низкая)
CVE-2025-8033: Incorrect JavaScript state machine for generators (низкая)

Просьба обновить пакет в репозитории и продублировать для p10 (так как это обновление безопасности).

Comment 1 Andrey Cherepanov 2025-08-31 13:59:52 MSK

В Sisyphus собрана версия firefox-esr-140.0.2. Собирается во все остальные репозитории.

Comment 2 Andrey Cherepanov 2025-08-31 14:00:25 MSK

(Ответ для Andrey Cherepanov на комментарий #1)
> В Sisyphus собрана версия firefox-esr-140.0.2. Собирается во все остальные
> репозитории.

Пардон, 140.2.0-alt2

Comment 3 Marcus 2025-09-17 21:42:24 MSK

(Ответ для Andrey Cherepanov на комментарий #2)
> (Ответ для Andrey Cherepanov на комментарий #1)
> > В Sisyphus собрана версия firefox-esr-140.0.2. Собирается во все остальные
> > репозитории.
> 
> Пардон, 140.2.0-alt2

Хорошо бы, чтобы уже наконец попала в p10 (и в p11, конечно). Для меня важна не сама ветка (140.X - это даже лучше, так как это последняя текущая ветка ESR), а список закрытых CVE, скажем так.

Comment 4 Marcus 2025-09-17 21:47:49 MSK

А между тем уже и Firefox ESR 140.3.0 подоспел, с очередным списком закрытых CVE:

CVE-2025-10527: Sandbox escape due to use-after-free in the Graphics: Canvas2D component (высокая)
CVE-2025-10528: Sandbox escape due to undefined behavior, invalid pointer in the Graphics: Canvas2D component (высокая)
CVE-2025-10537: Memory safety bugs fixed in Firefox ESR 140.3, Thunderbird ESR 140.3, Firefox 143 and Thunderbird 143 (высокая)
CVE-2025-10529: Same-origin policy bypass in the Layout component
CVE-2025-10532: Incorrect boundary conditions in the JavaScript: GC component
CVE-2025-10533: Integer overflow in the SVG component
CVE-2025-10536: Information disclosure in the Networking: Cache component

Comment 5 Marcus 2025-09-24 16:24:39 MSK

Близкий по теме тикет, но для p11: https://bugzilla.altlinux.org/55026

Comment 6 Marcus 2025-11-11 10:24:05 MSK

Обращение всё ещё актуально (так как не все машины можно быстро перевести на p11).

Comment 7 Marcus 2025-11-17 14:54:53 MSK

Вижу по заданиям, что версия 140.4.0 ждёт влития в p10. Можно будет пакет до версии 140.5.0 обновить в p10, чтобы тоже последняя доступная была, как и в p11? В моём случае вопрос актуален только для платформы x86_64, если это имеет значение.

Comment 8 Marcus 2025-12-03 13:47:43 MSK

В p10 наконец появилась версия Firefox ESR 140.5.0, и это последняя доступная версия Firefox ESR на данный момент. Благодарю! Обращение можно закрыть.