Bug 55701

Summary: Версия пакета firefox-esr сильно устарела и содержит уязвимости
Product: Branch p10 Reporter: Marcus <marcuspyxis>
Component: firefox-esrAssignee: pav <pav>
Status: CLOSED FIXED QA Contact: qa-p10 <qa-p10>
Severity: blocker    
Priority: P5 CC: aen, amakeenk, cas, marcuspyxis
Version: не указана   
Hardware: x86_64   
OS: Linux   

Description Marcus 2025-08-22 21:58:12 MSK 
Актуальная версия Firefox ESR ветки 128.X на момент создания обращения: 128.14.0. В репозитории же - версия 128.10.1 (не обновлялась с 21 мая 2025 г.). За это время в Firefox ESR ветки 128.X были обнаружены и устранены следующие уязвимости:
CVE-2025-5283: Double-free in libvpx encoder (критичная)
CVE-2025-6424: Use-after-free in FontFaceSet (высокая)
CVE-2025-8027: JavaScript engine only wrote partial return value to stack (высокая)
CVE-2025-8028: Large branch table could lead to truncated instruction (высокая)
CVE-2025-8034: Memory safety bugs (высокая)
CVE-2025-8035: Memory safety bugs (высокая)
CVE-2025-9179: Sandbox escape due to invalid pointer in the Audio/Video: GMP component (высокая)
CVE-2025-9180: Same-origin policy bypass in the Graphics: Canvas2D component (высокая)
CVE-2025-9185: Memory safety bugs (высокая)
CVE-2025-5263: Error handling for script execution was incorrectly isolated from web content (средняя)
CVE-2025-5264: Potential local code execution in “Copy as cURL” command (средняя)
CVE-2025-5265: Potential local code execution in “Copy as cURL” command (средняя)
CVE-2025-5266: Script element events leaked cross-origin resource status (средняя)
CVE-2025-5268: Memory safety bugs (средняя)
CVE-2025-5269: Memory safety bug (средняя)
CVE-2025-6425: The WebCompat WebExtension shipped with Firefox exposed a persistent UUID (средняя)
CVE-2025-6429: Incorrect parsing of URLs (средняя)
CVE-2025-6430: Content-Disposition header ignored when a file is included in an embed or object tag (средняя)
CVE-2025-8029: javascript: URLs executed on object and embed tags (средняя)
CVE-2025-8030: Potential user-assisted code execution in “Copy as cURL” command (средняя)
CVE-2025-8031: Incorrect URL stripping in CSP reports (средняя)
CVE-2025-8032: XSLT documents could bypass CSP (средняя)
CVE-2025-9181: Uninitialized memory in the JavaScript Engine component (средняя)
CVE-2025-5267: Clickjacking vulnerability could have led to leaking saved payment card details (низкая)
CVE-2025-8033: Incorrect JavaScript state machine for generators (низкая)

Просьба обновить пакет в репозитории и продублировать для p10 (так как это обновление безопасности).
Comment 1 Andrey Cherepanov 2025-08-31 13:59:52 MSK 
В Sisyphus собрана версия firefox-esr-140.0.2. Собирается во все остальные репозитории.
Comment 2 Andrey Cherepanov 2025-08-31 14:00:25 MSK 
(Ответ для Andrey Cherepanov на комментарий #1)
> В Sisyphus собрана версия firefox-esr-140.0.2. Собирается во все остальные
> репозитории.

Пардон, 140.2.0-alt2
Comment 3 Marcus 2025-09-17 21:42:24 MSK 
(Ответ для Andrey Cherepanov на комментарий #2)
> (Ответ для Andrey Cherepanov на комментарий #1)
> > В Sisyphus собрана версия firefox-esr-140.0.2. Собирается во все остальные
> > репозитории.
> 
> Пардон, 140.2.0-alt2

Хорошо бы, чтобы уже наконец попала в p10 (и в p11, конечно). Для меня важна не сама ветка (140.X - это даже лучше, так как это последняя текущая ветка ESR), а список закрытых CVE, скажем так.
Comment 4 Marcus 2025-09-17 21:47:49 MSK 
А между тем уже и Firefox ESR 140.3.0 подоспел, с очередным списком закрытых CVE:

CVE-2025-10527: Sandbox escape due to use-after-free in the Graphics: Canvas2D component (высокая)
CVE-2025-10528: Sandbox escape due to undefined behavior, invalid pointer in the Graphics: Canvas2D component (высокая)
CVE-2025-10537: Memory safety bugs fixed in Firefox ESR 140.3, Thunderbird ESR 140.3, Firefox 143 and Thunderbird 143 (высокая)
CVE-2025-10529: Same-origin policy bypass in the Layout component
CVE-2025-10532: Incorrect boundary conditions in the JavaScript: GC component
CVE-2025-10533: Integer overflow in the SVG component
CVE-2025-10536: Information disclosure in the Networking: Cache component
Comment 5 Marcus 2025-09-24 16:24:39 MSK 
Близкий по теме тикет, но для p11: https://bugzilla.altlinux.org/55026
Comment 6 Marcus 2025-11-11 10:24:05 MSK 
Обращение всё ещё актуально (так как не все машины можно быстро перевести на p11).
Comment 7 Marcus 2025-11-17 14:54:53 MSK 
Вижу по заданиям, что версия 140.4.0 ждёт влития в p10. Можно будет пакет до версии 140.5.0 обновить в p10, чтобы тоже последняя доступная была, как и в p11? В моём случае вопрос актуален только для платформы x86_64, если это имеет значение.
Comment 8 Marcus 2025-12-03 13:47:43 MSK 
В p10 наконец появилась версия Firefox ESR 140.5.0, и это последняя доступная версия Firefox ESR на данный момент. Благодарю! Обращение можно закрыть.