いちまつ さん、お知らせありがとうございます。
Firefox ESR 38.5.1 から3日ほどで Firefox ESR 38.5.2 が出ています。 一応 Security Fix でしょう。
SHA ハッシュを使うなら、今更 SHA-1 ではなく SHA-256 ( SHA-2 ) でね 、と云う理解でいいんでしょうか。
なお 通常版 43.0.2 も出ています。 変更内容は同じみたいです。
アドオンは、 ESR 38.5.0 で動作していたものがそのまま動くようです。
(図1)
Firefox ESR 38.5.1 のアップデート。
( 画像サイズ 32.99 KB )
(図2)
Firefox ESR 38.5.1 。
( 画像サイズ 33.68 KB )
※ firefox-38.5.0esr-38.5.2esr.partial.mar がない。 38.5.0 → 38.5.2 直にアップしないみたい。
(図3)
Firefox ESR 38.5.2 のアップデート。
( 画像サイズ 32.93 KB )
(図4)
Firefox ESR 38.5.2 。
( 画像サイズ 32.71 KB )
Mozilla Japan http://www.mozilla.jp/business/downloads/
> Firefox/Thunderbird 法人向け延長サポート版 (ESR) のダウンロード
Mozilla Foundation http://download.cdn.mozilla.net/pub/mozilla.org/firefox/releases/
> Index of /pub/mozilla.org/firefox/releases
( 38.5.2 ESR の VirusTotal: update.mar 、検出率: 0 / 54 、 本体 、検出率: 1 / 54 。)
ディジタル署名の拇印は、"50 60 0f d6 31 99 84 51 c8 f7 5e f3 f6 18 e3 1f c7 4d 15 85" 。
前回 と異なる、新署名です。( 2018/07/13 まで有効 。) でも SHA-1 です。
セキュリティアドバイザリ:
Mozilla Japan http://www.mozilla-japan.org/security/known-vulnerabilities/firefoxESR.html#firefox38.5
> Firefox セキュリティアドバイザリ
> Firefox 38.5 で修正済み
※ 変更なし。
Mozilla Foundation https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox-esr/#firefoxesr38.5
> Fixed in Firefox ESR 38.5.2
※ 変更なし。 MFSA 2015-149 " まで。 ( アーカイブ )
リリースノート:
Mozilla Foundation https://www.mozilla.org/en-US/firefox/38.5.2/releasenotes/
> Firefox ― Notes (38.5.2) ― Mozilla
※ "Use a SHA-256 signing certificate for Windows builds" 。
Mozilla Foundation https://www.mozilla.org/en-US/firefox/38.5.1/releasenotes/
> Firefox Extended Support Release ― Notes (38.5.1) ― Mozilla
※ "Prepare to use SHA-256 signing certificate for Windows builds" 。
Mozilla Foundation https://bugzilla.mozilla.org/show_bug.cgi?id=1079858
> 1079858 – Deal with deprecation of SHA1 (SHA-1)
> Authenticode signatures for Windows signing
Mozilla Japan http://www.mozilla.jp/firefox/38.5.1/releasenotes/
> Firefox 38.5.1 延長サポート版 (ESR) リリースノート
※ 予定。
Mozilla Japan http://www.mozilla.jp/firefox/38.5.2/releasenotes/
> Firefox 38.5.2 延長サポート版 (ESR) リリースノート
※ 予定。
ブログ:
Mozilla Japan http://www.mozilla.jp/blog/entry/10518/
> Firefox でプライベートブラウジング中のデータを
> よりコントロールできるようになります | Mozilla Japan ブログ
※ "トラッカーリストは、Mozilla のパートナーである Disconnect 社から提供されたリストをベース" 。
Mozilla Foundation https://blog.mozilla.org/security/2015/11/23/improving-revocation-ocsp-must-staple-and-short-lived-certificates/
> Improving Revocation: OCSP Must-Staple and Short-lived Certificates | Mozilla Security Blog
Mozilla Foundation https://blog.mozilla.org/addons/2015/02/10/extension-signing-safer-experience/
> Introducing Extension Signing: A Safer Add-on Experience | Mozilla Add-ons Blog
(関連)
直リンク:
※ 日本語版差分 mar ファイル。 pgp 署名 はない。
※ VirusTotal 、検出率: 0 / 54 。
※ 日本語版差分 mar ファイル。 pgp 署名 はない。
※ 日本語版完全 mar ファイル。
※ 日本語版フルインストーラー ( ミラーとオリジナル? ) 、サイズ 38.0 MB 。 ミラーの方は SSL/TLS ではない。
https://download.cdn.mozilla.net/pub/mozilla.org/firefox/releases/38.5.2esr/SHA512SUMS
※ SHA-512 ハッシュ。
http://download.cdn.mozilla.net/pub/mozilla.org/firefox/releases/38.5.2esr/SHA512SUMS.asc
※ SHA-512 ハッシュの pgp 署名。 SSL/TLS ではない。 SSL でうまく行く時とそうでない時がある?
Mozilla Japan http://www.mozilla.jp/business/support/
> Firefox と Thunderbird の法人向けサポート | 法人向け情報 | Mozilla Japan
・・・
Mozilla Foundation https://www.mozilla.org/ja/plugincheck/
> プラグインのチェックと更新 ― Mozilla
・・・
一般社団法人 JPCERT コーディネーションセンター https://www.jpcert.or.jp/
> JPCERT コーディネーションセンター
※ 未掲載。 ( アーカイブ )
インプレス 窓の杜 http://www.forest.impress.co.jp/docs/news/20151221_736375.html
> Mozilla、証明書のエラー画面改善などを盛り込んだ「Firefox 44」のベータ版を公開 - 窓の杜
ITmedia ニュース http://www.itmedia.co.jp/news/articles/1512/16/news057.html
> 「Firefox 43」安定版リリース──64ビット版追加や検索機能向上 - ITmedia ニュース
※ 未掲載。 ( アーカイブ )
So-netブログ http://security-t.blog.so-net.ne.jp/2015-12-16-1
> モジラ、深刻な脆弱性を修正した「Firefox 43」公開:セキュリティ通信:So-netブログ
※ 未掲載。 ( アーカイブ )
SANS Internet Storm Center https://isc.sans.edu/diaryarchive.html?year=2015&month=12
> InfoSec Diary Blog Archive - SANS Internet Storm Center
※ 未掲載。 ところで Juniper 製品で Infocon Yellow だったり。 2015-12-21 付け。
Secunia Advisories https://secunia.com/advisories/67802/
> Security Advisory SA67802 -
> Mozilla Firefox Multiple Vulnerabilities - Secunia
Secunia Advisories https://secunia.com/advisories/67803/
> Security Advisory SA67803 -
> Mozilla Firefox ESR Multiple Vulnerabilities - Secunia
Secunia Advisories https://secunia.com/community/advisories/search/?search=firefox
> Search the Secunia Advisory and Vulnerability Database
※ 未掲載。
・・・
HTTP ヘッダの確認サイト:
UGTOP http://www.ugtop.com/spill.shtml
> 確認くん(VIA the UGTOP)
taruo.net http://www.taruo.net/e/
> 診断くん
SSL 関係のテストサイト:
Qualys SSL Labs https://www.ssllabs.com/ssltest/viewMyClient.html
> Qualys SSL Labs - Projects / SSL Client Test
Tracking the FREAK Attack https://freakattack.com/
> Tracking the FREAK Attack
※ 要 JavaScript 。
Tracking the FREAK Attack https://cve.freakattack.com/
> ページ読み込みエラー
※ こちらは Script 不要。 エラー表示される状態が正常の模様。
Logjam https://weakdh.org/
> Logjam: How Diffie-Hellman Fails in Practice
※ 要 JavaScript 。
・・・
http://d.hatena.ne.jp/TsuSUZUKI/20151216/1450281317
※ Firefox ESR 38.5.0
http://d.hatena.ne.jp/TsuSUZUKI/20150706/1436161486
※ Firefox ESR のプロファイル
http://d.hatena.ne.jp/TsuSUZUKI/20151216/1450281318
※ Firefox 43.0
いじょうです。
-
- -