1.修復的CVE ·CVE-2020-15999 描述：Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Chrome 86.0.4240.111之前版本中的 FreeType 存在緩沖區錯誤漏洞，攻擊者可利用該漏洞可以通過FreeType的字體文件觸發內存破壞，以觸發拒絕服務，并可能運行代碼。 ·CVE-2020-16012 描述：Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。FireFox 存在安全漏洞，該漏洞源于當在未知的交叉原點圖像上繪制透明圖像時，Skia庫的drawImage函數會根據底層圖像的內容花費可變的時間。這導致了通過定時側通道攻擊可能暴露圖像內容的交叉源信息。 ·CVE-2020-26951 描述：Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。FireFox 存在跨站腳本漏洞，該漏洞源于SVG代碼中的解析和事件加載不匹配可能導致加載事件被觸發，即使在清除之后也是如此。 已經能夠利用特權內部頁面中的XSS漏洞的攻擊者可能已經使用此攻擊來繞過我們的內置消毒器。 ·CVE-2020-26953 描述：Mozilla Firefox和Mozilla Thunderbird都是美國Mozilla基金會的產品。Mozilla Firefox是一款開源Web瀏覽器。Mozilla Thunderbird是一套從Mozilla Application Suite獨立出來的電子郵件客戶端軟件。該軟件支持IMAP、POP郵件協議以及HTML郵件格式。Mozilla FireFox 和 Mozilla Thunderbird 存在安全漏洞，該漏洞源于有可能導致瀏覽器進入全屏模式而不顯示安全UI;這樣就有可能嘗試釣魚式攻擊或以其他方式迷惑用戶。 ·CVE-2020-26956 描述：Mozilla Firefox等都是美國Mozilla基金會的產品。Mozilla Firefox是一款開源Web瀏覽器。Mozilla Firefox ESR是Firefox(Web瀏覽器)的一個延長支持版本。Mozilla Thunderbird是一套從Mozilla Application Suite獨立出來的電子郵件客戶端軟件。多款Mozilla產品存在跨站腳本漏洞，該漏洞源于在清理期間刪除HTML元素會保留現有的SVG事件處理程序，從而導致XSS。以下產品及版本受到影響：Firefox 83之前版本, Firefox ESR 78.5之前版本, Thunderbird 78.5之前版本。 ·CVE-2020-26957 描述：Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Android Firefox 存在安全漏洞，該漏洞源于缺少服務初始化，OneCRL在新的Android Firefox中沒有功能。這可能導致無法強制執行某些證書撤銷。 ·CVE-2020-26958 描述：Mozilla Firefox ESR是美國Mozilla基金會的Firefox(Web瀏覽器)的一個延長支持版本。FireFox 存在跨站腳本漏洞，該漏洞源于當響應被攔截并通過ServiceWorker緩存時，Firefox沒有阻止使用不正確MIME類型的腳本的執行。這可能導致跨站點腳本包含漏洞，或者繞過內容安全策略。 ·CVE-2020-26959 描述：Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。FireFox 存在安全漏洞，該漏洞源于在瀏覽器關閉期間，在之前釋放的對象上可能會發生引用減少，從而導致釋放后使用、內存損壞和潛在的可利用崩潰。 ·CVE-2020-26960 描述：Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox 存在安全漏洞，該漏洞源于如果在nsTArray上調用Compact（）方法，則可以在不更新其他指針的情況下重新分配該數組，從而導致潛在的事后使用和可利用的崩潰。 ·CVE-2020-26961 描述：Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。FireFox 存在安全漏洞，該漏洞源于使用基于HTTPS的DNS時，它會故意從響應中過濾RFC1918和相關的IP范圍，因為這些來自DoH解析器是沒有意義的。 但是，當通過IPv6映射IPv4地址時，這些地址被錯誤地允許通過，從而導致潛在的DNS重新綁定攻擊。 ·CVE-2020-26963 描述：Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。FireFox 存在安全漏洞，該漏洞源于歷史和位置接口可以用來掛起瀏覽器。 ·CVE-2020-26965 描述：Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。FireFox 存在安全漏洞，該漏洞源于一些網站具有“顯示密碼”功能，單擊按鈕會將密碼字段更改為教科書字段，從而顯示鍵入的密碼。 如果在使用記住用戶輸入的軟件鍵盤時，用戶鍵入了密碼并使用了該功能，則更改了密碼字段的類型，從而導致鍵盤布局發生了變化，并且軟件鍵盤可能會記住輸入的密碼。 ·CVE-2020-26966 描述：Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla FireFox 存在安全漏洞，該漏洞源于搜索一個單一的字從地址欄導致mDNS請求被發送到本地網絡搜索一個主機名組成的字符串;導致了信息泄露。 ·CVE-2020-26967 描述：Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。FireFox 83之前版本存在安全漏洞，該漏洞源于當使用突變觀察者偵聽頁面更改時，惡意web頁面可能會使Firefox的屏幕截圖與它注入到頁面中的其他元素進行交互。這將導致屏幕截圖代碼中的內部錯誤和意外行為。 2.受影響的軟件包 ·銀河麒麟高級服務器操作系統 V10 SP2 ·aarch64架構: firefox ·x86_64架構: firefox 3.軟件包修復版本 ·銀河麒麟高級服務器操作系統 V10 SP2 (aarch64、x86_64) firefox-79.0-4.p09.ky10或以上版本 4.修復方法 方法一：配置源進行升級安裝 1.打開軟件包源配置文件，根據倉庫地址進行修改。 倉庫源地址： 銀河麒麟高級服務器操作系統 V10 SP2 aarch64:https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/ x86_64:https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/ 2.配置完成后執行更新命令進行升級，命令如下： yum update Packagename 方法二：下載安裝包進行升級安裝 通過軟件包地址下載軟件包，使用軟件包升級命令根據受影響的軟件包 列表進行升級安裝, 命令如下： yum install Packagename 3.升級完成后是否需要重啟服務或操作系統： CVE-2020-15999:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2020-16012:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2020-26951:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2020-26953:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2020-26956:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2020-26957:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2020-26958:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2020-26959:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2020-26960:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2020-26961:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2020-26963:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2020-26965:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2020-26966:需要重啟 firefox 以使漏洞修復生效。 CVE-2020-26967:無需重啟操作系統與服務即可使漏洞修復生效。 5.軟件包下載地址 ·銀河麒麟高級服務器操作系統 V10 SP2 firefox(aarch64)軟件包下載地址: https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/firefox-79.0-4.p09.ky10.aarch64.rpm firefox(x86_64)軟件包下載地址: https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/firefox-79.0-4.p09.ky10.x86_64.rpm 注：其他相關依賴包請到相同目錄下載 6.修復驗證 使用軟件包查詢命令，查看相關軟件包版本是否與修復版本一致，如果版本一致，則說明修復成功。 sudo rpm -qa | grep Packagename