1.修復的CVE ·CVE-2016-10195 描述：libevent是軟件開發者Nick Mathewson和Niels Provos共同研發的一個異步事件處理軟件函數庫，它可通過應用程序編程接口（API）設定某些事件發生時所執行的函數。libevent 2.1.6-beta之前的的版本中的evdns.c文件的‘name_parse’函數存在安全漏洞。遠程攻擊者可利用該漏洞造成拒絕服務或在受影響的應用程序上下文中執行任意代碼。 ·CVE-2016-10196 描述：libevent是軟件開發者Nick Mathewson和Niels Provos共同研發的一個異步事件處理軟件函數庫，它可通過應用程序編程接口（API）設定某些事件發生時所執行的函數。libevent 2.1.6-beta之前的版本中的evutil.c文件的‘evutil_parse_sockaddr_port’函數存在基于棧的緩沖區溢出漏洞。攻擊者可利用該漏洞造成拒絕服務（段錯誤）。 ·CVE-2016-10197 描述：libevent是軟件開發者Nick Mathewson和Niels Provos共同研發的一個異步事件處理軟件函數庫，它可通過應用程序編程接口（API）設定某些事件發生時所執行的函數。libevent 2.1.6-beta之前的版本中的evdns.c文件的‘search_make_new’函數存在安全漏洞。攻擊者可借助空的主機名利用該漏洞造成拒絕服務（越邊界讀取）。 ·CVE-2017-5429 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中存在安全漏洞。攻擊者可利用該漏洞造成內存損壞，執行任意代碼。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5432 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中的text input selection存在釋放后重用漏洞。攻擊者可利用該漏洞造成崩潰。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5433 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中的‘SMIL animation’函數存在釋放后重用漏洞。攻擊者可利用該漏洞造成崩潰。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5434 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中存在釋放后重用漏洞。攻擊者可利用該漏洞造成拒絕服務（崩潰）。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5435 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中存在釋放后重用漏洞。攻擊者可利用該漏洞造成崩潰。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5436 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中的Graphite 2存在安全漏洞。攻擊者可借助特制的Graphite字體利用該漏洞造成拒絕服務（越邊界寫入）。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5438 描述：Mozilla Firefox、Firefox ESR和Firefox OS都是由美國Mozilla基金會開發。Firefox是一款開源Web瀏覽器；Firefox ESR是Firefox的一個延長支持版本；Firefox OS是一套基于Linux內核并應用于智能手機和平板電腦中的移動操作系統。多款Mozilla產品中的nsAutoPtr存在釋放后重用漏洞。攻擊者可利用該漏洞造成崩潰。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5439 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中的‘nsTArray Length()’函數存在釋放后重用漏洞，該漏洞源于程序沒有很好的處理‘template’參數。攻擊者可利用該漏洞造成崩潰。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5440 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中的txExecutionState destructor存在釋放后重用漏洞。攻擊者可利用該漏洞造成崩潰。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5441 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中存在釋放后重用漏洞。攻擊者可利用該漏洞造成崩潰。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5442 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中存在釋放后重用漏洞。攻擊者可利用該漏洞造成拒絕服務（崩潰）。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5443 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中存在安全漏洞。攻擊者可利用該漏洞造成拒絕服務（越邊界寫入）。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本,52.1之前的版本。 ·CVE-2017-5444 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中存在緩沖區溢出漏洞。攻擊者可利用該漏洞越邊界讀取內存數據。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5445 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中存在安全漏洞。攻擊者可利用該漏洞讀取未初始化的內存。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5446 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中存在越邊界讀取漏洞。攻擊者可利用該漏洞造成崩潰。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5447 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中存在越邊界讀取漏洞。攻擊者可利用該漏洞造成崩潰。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5449 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中存在安全漏洞。攻擊者可利用該漏洞造成拒絕服務（崩潰）。以下版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 52.1之前的版本。 ·CVE-2017-5451 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中存在安全漏洞。攻擊者可利用該漏洞偽造地址欄內容。以下版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 52.1之前的版本。 ·CVE-2017-5454 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中存在安全漏洞。攻擊者可借助文件選擇器利用該漏洞讀取本地文件系統。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 52.1之前的版本。 ·CVE-2017-5459 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中的WebGL存在緩沖區溢出漏洞。攻擊者可利用該漏洞造成拒絕服務（崩潰）。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5460 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中的frame selection存在釋放后重用漏洞。攻擊者可利用該漏洞造成崩潰。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5464 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中存在安全漏洞。攻擊者可利用該漏洞損壞內存，造成崩潰。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 ·CVE-2017-5465 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中的ConvolvePixel存在越邊界讀取漏洞。攻擊者可利用該漏洞造成拒絕服務（崩潰）。以下版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本；Firefox ESR 52.1之前的版本。 ·CVE-2017-5466 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中存在安全漏洞。攻擊者可利用該漏洞實施跨站腳本攻擊。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 52.1之前的版本。 ·CVE-2017-5467 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中存在安全漏洞。攻擊者可利用該漏洞造成拒絕服務（內存損壞和崩潰）。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 52.1之前的版本。 ·CVE-2017-5469 描述：Mozilla Firefox、Firefox ESR和Thunderbird都是由美國Mozilla基金會開發的產品。Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從Mozilla Application Suite中獨立出來的一套電子郵件客戶端軟件。多款Mozilla產品中的生成的Firefox代碼存在緩沖區溢出漏洞。攻擊者可利用該漏洞執行任意代碼或造成拒絕服務。以下產品和版本受到影響：Mozilla Thunderbird 52.1之前的版本；Firefox 53之前的版本；Firefox ESR 45.9之前的版本，52.1之前的版本。 2.受影響的軟件包 ·中標麒麟高級服務器操作系統 V7 x86_64架構: thunderbird 3.軟件包修復版本 ·中標麒麟高級服務器操作系統 V7 thunderbird-52.1.0-1.el7_3 4.修復方法 方法一：配置源進行升級安裝 349.打開軟件包源配置文件，根據倉庫地址進行修改。 倉庫源地址： 中標麒麟高級服務器操作系統 V7 x86_64:https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/ 350.配置完成后執行更新命令進行升級，命令如下： yum update Packagename 方法二：下載安裝包進行升級安裝 通過軟件包地址下載軟件包，使用軟件包升級命令根據受影響的軟件包 列表進行升級安裝,命令如下： yum install Packagename 351.升級完成后是否需要重啟服務或操作系統： ·CVE-2016-10195：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2016-10196：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2016-10197：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5429：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5432：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5433：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5434：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5435：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5436：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5438：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5439：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5440：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5441：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5442：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5443：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5444：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5445：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5446：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5447：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5449：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5451：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5454：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5459：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5460：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5464：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5465：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5466：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5467：無需重啟操作系統與服務即可使漏洞修復生效。 ·CVE-2017-5469：無需重啟操作系統與服務即可使漏洞修復生效。 5.軟件包下載地址 ·中標麒麟高級服務器操作系統 V7 thunderbird（x86_64）軟件包下載地址: https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/thunderbird-52.1.0-1.el7_3.i686.rpm https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/Packages/thunderbird-52.1.0-1.el7_3.x86_64.rpm 注：其他相關依賴包請到相同目錄下載 6.修復驗證 使用軟件包查詢命令，查看相關軟件包版本是否與修復版本一致，如果版本一致，則說明修復成功。 sudo rpm -qa | grep Packagename