openSUSE 安全性更新:Mozilla Firefox 與其他 (openSUSE-SU-2013:0630-1)

critical Nessus Plugin ID 74965

概要

遠端 openSUSE 主機缺少安全性更新。

說明

Mozilla 套件已接收安全性和錯誤修正更新:

Mozilla Firefox 已更新至 20.0 版。Mozilla Thunderbird 已更新至 17.0.5 版。Mozilla SeaMonkey 已更新至 17.0.5 版。Mozilla XULRunner 已更新至 17.0.5 版。mozilla-nss 已更新至 3.14.3 版。mozilla-nspr 已更新至 4.9.6 版。

mozilla-nspr 已更新至 4.9.6 版:

- aarch64 支援

- 新增 PL_SizeOfArenaPoolExcludingPool 函式 (bmo#807883)

- 自動偵測 x86 的 android api 版本 (bmo#782214)

- 初始化不含除錯資訊及含非零微調計數的 Windows CRITICAL_SECTION (bmo#812085) 4.9.5 版的之前更新

- bmo#634793:定義 NSPR 的確切寬度整數類型 PRInt{N} 與 PRUint{N} 類型以符合 <stdint.h> 確切寬度整數類型 int{N}_t 與 uint{N}_t。

- bmo#782815:將 'int *' 傳遞至 setsockopt() 中 'unsigned int *' 類型的參數。

- bmo#822932:將 bmo#802527 (x86 的 NDK r8b 支援) 移植至 NSPR。

- bmo#824742:NSPR 在 Android 上不應需要 librt。

- bmo#831793:PR_UnloadLibrary 中對於 lib->refCount 的資料爭用。

mozilla-nss 已更新至 3.14.3 版:

- 停用對於過期憑證的測試

- 使用修補程式從 mozilla 樹狀結構新增 SEC_PKCS7VerifyDetachedSignatureAtTime 以滿足 Firefox 21 要求

- 此版本並未引入新的主要功能。此版本為可解決 CVE-2013-1620 的修補程式版本 (bmo#822365)

- 'certutil -a' 並未如要求正確產生 ASCII 輸出。(bmo#840714)

- NSS 3.14.2 對缺少 SQLITE_FCNTL_TEMPFILENAME 檔案控制的舊版 sqlite 中斷編譯。NSS 3.14.3 現在當用於舊版 sqlite 時,已可正確編譯 (bmo#837799) - 移除 system-sqlite.patch

- 新增 arm aarch64 支援

- 新增 system-sqlite.patch (bmo#837799)

- 不依賴於僅供 #define 使用的最新 sqlite

- 再次啟用系統 sqlite 使用量

- 3.14.2 的更新

- Firefox >= 20 的必要項目

- 移除淘汰的 nssckbi 更新修補程式

- MFSA 2013-40/CVE-2013-0791 (bmo#629816) CERT_DecodeCertPackage 中的超出邊界陣列讀取

- 停用系統 sqlite 使用量,因為我們依賴於 3.7.15,而其並未在任何 openSUSE 發行版本中予以提供

- 新增 nss-sqlitename.patch 以避免任何名稱衝突

MozillaFirefox 中的變更:

- Firefox 20.0 的更新 (bnc#813026)

- 需要 NSPR 4.9.5 和 NSS 3.14.3

- MFSA 2013-30/CVE-2013-0788/CVE-2013-0789 其他記憶體安全危險

- MFSA 2013-31/CVE-2013-0800 (bmo#825721) Cairo 程式庫有超出邊界寫入問題

- MFSA 2013-35/CVE-2013-0796 (bmo#827106) Linux 上的 Mesa 圖形驅動程式會造成 WebGL 損毀

- MFSA 2013-36/CVE-2013-0795 (bmo#825697) 繞過 SOW 保護可允許複製受保護的節點

- MFSA 2013-37/CVE-2013-0794 (bmo#626775) 繞過 tab-modal 對話方塊來源洩漏

- MFSA 2013-38/CVE-2013-0793 (bmo#803870) 使用計時的歷程記錄導覽時發生跨網站指令碼 (XSS) 問題

- MFSA 2013-39/CVE-2013-0792 (bmo#722831) 轉譯灰階 PNG 影像時發生記憶體損毀

- 使用以 12.3 開頭的 GStreamer 1.0 (mozilla-gstreamer-1.patch)

- armv7hl 的版本修正:

- 停用除錯版本,因為 armv7hl 沒有足夠的記憶體

- 在 armv7hl 上停用 webrtc,因為它並沒有編譯

MozillaThunderbird 中的變更:

- Thunderbird 17.0.5 的更新 (bnc#813026)

- 需要 NSPR 4.9.5 和 NSS 3.14.3

- MFSA 2013-30/CVE-2013-0788/CVE-2013-0789 其他記憶體安全危險

- MFSA 2013-31/CVE-2013-0800 (bmo#825721) Cairo 程式庫有超出邊界寫入問題

- MFSA 2013-35/CVE-2013-0796 (bmo#827106) Linux 上的 Mesa 圖形驅動程式會造成 WebGL 損毀

- MFSA 2013-36/CVE-2013-0795 (bmo#825697) 繞過 SOW 保護可允許複製受保護的節點

- MFSA 2013-38/CVE-2013-0793 (bmo#803870) 使用計時的歷程記錄導覽時發生跨網站指令碼 (XSS) 問題

seamonkey 中的變更:

- 更新至 SeaMonkey 2.17 (bnc#813026)

- 需要 NSPR 4.9.5 和 NSS 3.14.3

- MFSA 2013-30/CVE-2013-0788/CVE-2013-0789 其他記憶體安全危險

- MFSA 2013-31/CVE-2013-0800 (bmo#825721) Cairo 程式庫有超出邊界寫入問題

- MFSA 2013-35/CVE-2013-0796 (bmo#827106) Linux 上的 Mesa 圖形驅動程式會造成 WebGL 損毀

- MFSA 2013-36/CVE-2013-0795 (bmo#825697) 繞過 SOW 保護可允許複製受保護的節點

- MFSA 2013-37/CVE-2013-0794 (bmo#626775) 繞過 tab-modal 對話方塊來源洩漏

- MFSA 2013-38/CVE-2013-0793 (bmo#803870) 使用計時的歷程記錄導覽時發生跨網站指令碼 (XSS) 問題

- MFSA 2013-39/CVE-2013-0792 (bmo#722831) 轉譯灰階 PNG 影像時發生記憶體損毀

- 使用以 12.3 開頭的 GStreamer 1.0 (mozilla-gstreamer-1.patch)

xulrunner 中的變更:

- 17.0.5esr 的更新 (bnc#813026)

- 需要 NSPR 4.9.5 和 NSS 3.14.3

- MFSA 2013-30/CVE-2013-0788 其他記憶體安全危險

- MFSA 2013-31/CVE-2013-0800 (bmo#825721) Cairo 程式庫有超出邊界寫入問題

- MFSA 2013-35/CVE-2013-0796 (bmo#827106) Linux 上的 Mesa 圖形驅動程式會造成 WebGL 損毀

- MFSA 2013-36/CVE-2013-0795 (bmo#825697) 繞過 SOW 保護可允許複製受保護的節點

- MFSA 2013-37/CVE-2013-0794 (bmo#626775) 繞過 tab-modal 對話方塊來源洩漏

- MFSA 2013-38/CVE-2013-0793 (bmo#803870) 使用計時的歷程記錄導覽時發生跨網站指令碼 (XSS) 問題

解決方案

更新受影響的 Mozilla Firefox 及其他套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=813026

https://lists.opensuse.org/opensuse-updates/2013-04/msg00047.html

Plugin 詳細資訊

嚴重性: Critical

ID: 74965

檔案名稱: openSUSE-2013-309.nasl

版本: 1.8

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:mozillathunderbird, p-cpe:/a:novell:opensuse:mozillathunderbird-buildsymbols, p-cpe:/a:novell:opensuse:mozillathunderbird-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-debugsource, p-cpe:/a:novell:opensuse:mozillathunderbird-devel, p-cpe:/a:novell:opensuse:mozillathunderbird-devel-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-common, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-js, p-cpe:/a:novell:opensuse:mozilla-js-32bit, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr, p-cpe:/a:novell:opensuse:mozilla-nspr-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debugsource, p-cpe:/a:novell:opensuse:mozilla-nspr-devel, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, p-cpe:/a:novell:opensuse:xulrunner, p-cpe:/a:novell:opensuse:xulrunner-32bit, p-cpe:/a:novell:opensuse:xulrunner-buildsymbols, p-cpe:/a:novell:opensuse:xulrunner-debuginfo, p-cpe:/a:novell:opensuse:xulrunner-debuginfo-32bit, p-cpe:/a:novell:opensuse:xulrunner-debugsource, p-cpe:/a:novell:opensuse:xulrunner-devel, p-cpe:/a:novell:opensuse:xulrunner-devel-debuginfo, cpe:/o:novell:opensuse:12.1, cpe:/o:novell:opensuse:12.2, cpe:/o:novell:opensuse:12.3

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/4/4

弱點發布日期: 2013/2/8

參考資訊

CVE: CVE-2013-0788, CVE-2013-0789, CVE-2013-0791, CVE-2013-0792, CVE-2013-0793, CVE-2013-0794, CVE-2013-0795, CVE-2013-0796, CVE-2013-0800, CVE-2013-1620