1.修复的CVE ·CVE-2019-17026 描述：Mozilla Firefox等都是美国Mozilla（Mozilla）基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。IonMonkey JIT compiler是其中的一个JIT编译器。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。Mozilla Firefox 72.0.1之前版本、Firefox ESR 68.4.1之前版本和Thunderbird 68.4.1之前版本中的IonMonkey JIT compiler存在类型混淆漏洞。远程攻击者可利用该漏洞执行任意代码或导致拒绝服务。 ·CVE-2020-15664 描述：Mozilla Firefox等都是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。Mozilla多个产品存在安全漏洞，该漏洞源于恶意网页可以获得对InstallTrigger对象的访问权限，攻击者借助该漏洞可导致意外或恶意的扩展被安装。以下产品及版本受到影响：Mozilla Firefox 80之前版本, Thunderbird 78.2之前版本, Thunderbird 68.12之前版本, Firefox ESR 68.12之前版本, Firefox ESR 78.2之前版本和基于Android的Firefox 80之前版本。 ·CVE-2020-15665 描述：Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 80之前版本存在安全漏洞。攻击者利用该漏洞可能会显示不正确的URL。 ·CVE-2020-15666 描述：Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 80之前版本和基于Android的Firefox 80之前的版本存在安全漏洞，攻击者借助该漏洞可发现本地网络上服务或设备的登录状态。 ·CVE-2020-15667 描述：Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。 ·CVE-2020-15668 描述：Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 80之前版本中存在安全漏洞。该漏洞源于访问数据结构并将证书信息导入信任数据库时缺少锁。 ·CVE-2020-15676 描述：Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 81之前版本, Thunderbird 78.3之前版本和Firefox ESR 78.3之前版本存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。 ·CVE-2020-15677 描述：Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 81之前版本, Thunderbird 78.3之前版本和Firefox ESR 78.3之前版本存在输入验证错误漏洞。该漏洞源于网络系统或产品未对输入的数据进行正确的验证。 ·CVE-2020-15678 描述：Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 81之前版本, Thunderbird 78.3之前版本以及Firefox ESR 78.3之前版本存在资源管理错误漏洞。该漏洞源于网络系统或产品对系统资源（如内存、磁盘空间、文件等）的管理不当。 2.受影响的软件包 ·银河麒麟高级服务器操作系统 V10 SP1 ·aarch64架构: firefox ·x86_64架构: firefox ·银河麒麟高级服务器操作系统 V10 SP2 ·aarch64架构: firefox ·x86_64架构: firefox 3.软件包修复版本 ·银河麒麟高级服务器操作系统 V10 SP1 (aarch64、x86_64) firefox-79.0-4.p08.ky10或以上版本 ·银河麒麟高级服务器操作系统 V10 SP2 (aarch64、x86_64) firefox-79.0-4.p08.ky10或以上版本 4.修复方法 方法一：配置源进行升级安装 1.打开软件包源配置文件，根据仓库地址进行修改。 仓库源地址： 银河麒麟高级服务器操作系统 V10 SP1 aarch64:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/ x86_64:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/ 银河麒麟高级服务器操作系统 V10 SP2 aarch64:https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/base/aarch64/ x86_64:https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/base/x86_64/ 2.配置完成后执行更新命令进行升级，命令如下： yum update Packagename 方法二：下载安装包进行升级安装 通过软件包地址下载软件包，使用软件包升级命令根据受影响的软件包 列表进行升级安装, 命令如下： yum install Packagename 3.升级完成后是否需要重启服务或操作系统： CVE-2019-17026:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2020-15664:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2020-15665:需要重启 firefox 以使漏洞修复生效。 CVE-2020-15666:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2020-15667:需要重启 firefox 以使漏洞修复生效。 CVE-2020-15668:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2020-15676:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2020-15677:无需重启操作系统与服务即可使漏洞修复生效。 CVE-2020-15678:无需重启操作系统与服务即可使漏洞修复生效。 5.软件包下载地址 ·银河麒麟高级服务器操作系统 V10 SP1 firefox(aarch64)软件包下载地址: https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/firefox-79.0-4.p08.ky10.aarch64.rpm firefox(x86_64)软件包下载地址: https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/firefox-79.0-4.p08.ky10.x86_64.rpm ·银河麒麟高级服务器操作系统 V10 SP2 firefox(aarch64)软件包下载地址: https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/base/aarch64/Packages/firefox-79.0-4.p08.ky10.aarch64.rpm firefox(x86_64)软件包下载地址: https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/base/x86_64/Packages/firefox-79.0-4.p08.ky10.x86_64.rpm 注：其他相关依赖包请到相同目录下载 6.修复验证 使用软件包查询命令，查看相关软件包版本是否与修复版本一致，如果版本一致，则说明修复成功。 sudo rpm -qa | grep Packagename