ALAS2FIREFOX-2025-045 安全通告
漏洞概述
LZ4库(至1.10.0版本)在处理不受信任的LZ4帧时存在漏洞,攻击者可能利用此漏洞导致应用程序崩溃(拒绝服务)或产生其他未明确说明的影响。具体而言,lib/lz4frame.c文件中的LZ4F_createCDict_advanced函数未能正确处理空指针检查。(CVE-2025-62813)
严重程度
中危
受影响软件包
- firefox
修复说明
此安全通告适用于Amazon Linux 2 - Firefox Extra。要了解有关Amazon Linux 2(AL2)Extras的更多信息,请访问相关页面;有关AL2 Core和AL2 Extras通告区别,请参阅FAQ部分。
问题修复
运行以下命令更新系统:
|
|
或
|
|
新软件包版本
- aarch64: firefox-140.4.0-1.amzn2.0.3.aarch64
- src: firefox-140.4.0-1.amzn2.0.3.src
- x86_64: firefox-140.4.0-1.amzn2.0.3.x86_64
参考链接
- Amazon Linux 2发行说明
- Red Hat: CVE-2025-62813
- Mitre: CVE-2025-62813