openSUSE 安全性更新:Mozilla Firefox 與其他 (openSUSE-SU-2013:0630-1)
critical Nessus Plugin ID 74965
語系:
概要
遠端 openSUSE 主機缺少安全性更新。描述
Mozilla 套件已接收安全性和錯誤修正更新:Mozilla Firefox 已更新至 20.0 版。Mozilla Thunderbird 已更新至 17.0.5 版。Mozilla SeaMonkey 已更新至 17.0.5 版。Mozilla XULRunner 已更新至 17.0.5 版。mozilla-nss 已更新至 3.14.3 版。mozilla-nspr 已更新至 4.9.6 版。
mozilla-nspr 已更新至 4.9.6 版:
- aarch64 支援
- 新增 PL_SizeOfArenaPoolExcludingPool 函式 (bmo#807883)
- 自動偵測 x86 的 android api 版本 (bmo#782214)
- 初始化不含除錯資訊及含非零微調計數的 Windows CRITICAL_SECTION (bmo#812085) 4.9.5 版的之前更新
- bmo#634793:定義 NSPR 的確切寬度整數類型 PRInt{N} 與 PRUint{N} 類型以符合 <stdint.h> 確切寬度整數類型 int{N}_t 與 uint{N}_t。
- bmo#782815:將 'int *' 傳遞至 setsockopt() 中 'unsigned int *' 類型的參數。
- bmo#822932:將 bmo#802527 (x86 的 NDK r8b 支援) 移植至 NSPR。
- bmo#824742:NSPR 在 Android 上不應需要 librt。
- bmo#831793:PR_UnloadLibrary 中對於 lib->refCount 的資料爭用。
mozilla-nss 已更新至 3.14.3 版:
- 停用對於過期憑證的測試
- 使用修補程式從 mozilla 樹狀結構新增 SEC_PKCS7VerifyDetachedSignatureAtTime 以滿足 Firefox 21 要求
- 此版本並未引入新的主要功能。此版本為可解決 CVE-2013-1620 的修補程式版本 (bmo#822365)
- 'certutil -a' 並未如要求正確產生 ASCII 輸出。(bmo#840714)
- NSS 3.14.2 對缺少 SQLITE_FCNTL_TEMPFILENAME 檔案控制的舊版 sqlite 中斷編譯。NSS 3.14.3 現在當用於舊版 sqlite 時,已可正確編譯 (bmo#837799) - 移除 system-sqlite.patch
- 新增 arm aarch64 支援
- 新增 system-sqlite.patch (bmo#837799)
- 不依賴於僅供 #define 使用的最新 sqlite
- 再次啟用系統 sqlite 使用量
- 3.14.2 的更新
- Firefox >= 20 的必要項目
- 移除淘汰的 nssckbi 更新修補程式
- MFSA 2013-40/CVE-2013-0791 (bmo#629816) CERT_DecodeCertPackage 中的超出邊界陣列讀取
- 停用系統 sqlite 使用量,因為我們依賴於 3.7.15,而其並未在任何 openSUSE 發行版本中予以提供
- 新增 nss-sqlitename.patch 以避免任何名稱衝突
MozillaFirefox 中的變更:
- Firefox 20.0 的更新 (bnc#813026)
- 需要 NSPR 4.9.5 和 NSS 3.14.3
- MFSA 2013-30/CVE-2013-0788/CVE-2013-0789 其他記憶體安全危險
- MFSA 2013-31/CVE-2013-0800 (bmo#825721) Cairo 程式庫有超出邊界寫入問題
- MFSA 2013-35/CVE-2013-0796 (bmo#827106) Linux 上的 Mesa 圖形驅動程式會造成 WebGL 損毀
- MFSA 2013-36/CVE-2013-0795 (bmo#825697) 繞過 SOW 保護可允許複製受保護的節點
- MFSA 2013-37/CVE-2013-0794 (bmo#626775) 繞過 tab-modal 對話方塊來源洩漏
- MFSA 2013-38/CVE-2013-0793 (bmo#803870) 使用計時的歷程記錄導覽時發生跨網站指令碼 (XSS) 問題
- MFSA 2013-39/CVE-2013-0792 (bmo#722831) 轉譯灰階 PNG 影像時發生記憶體損毀
- 使用以 12.3 開頭的 GStreamer 1.0 (mozilla-gstreamer-1.patch)
- armv7hl 的版本修正:
- 停用除錯版本,因為 armv7hl 沒有足夠的記憶體
- 在 armv7hl 上停用 webrtc,因為它並沒有編譯
MozillaThunderbird 中的變更:
- Thunderbird 17.0.5 的更新 (bnc#813026)
- 需要 NSPR 4.9.5 和 NSS 3.14.3
- MFSA 2013-30/CVE-2013-0788/CVE-2013-0789 其他記憶體安全危險
- MFSA 2013-31/CVE-2013-0800 (bmo#825721) Cairo 程式庫有超出邊界寫入問題
- MFSA 2013-35/CVE-2013-0796 (bmo#827106) Linux 上的 Mesa 圖形驅動程式會造成 WebGL 損毀
- MFSA 2013-36/CVE-2013-0795 (bmo#825697) 繞過 SOW 保護可允許複製受保護的節點
- MFSA 2013-38/CVE-2013-0793 (bmo#803870) 使用計時的歷程記錄導覽時發生跨網站指令碼 (XSS) 問題
seamonkey 中的變更:
- 更新至 SeaMonkey 2.17 (bnc#813026)
- 需要 NSPR 4.9.5 和 NSS 3.14.3
- MFSA 2013-30/CVE-2013-0788/CVE-2013-0789 其他記憶體安全危險
- MFSA 2013-31/CVE-2013-0800 (bmo#825721) Cairo 程式庫有超出邊界寫入問題
- MFSA 2013-35/CVE-2013-0796 (bmo#827106) Linux 上的 Mesa 圖形驅動程式會造成 WebGL 損毀
- MFSA 2013-36/CVE-2013-0795 (bmo#825697) 繞過 SOW 保護可允許複製受保護的節點
- MFSA 2013-37/CVE-2013-0794 (bmo#626775) 繞過 tab-modal 對話方塊來源洩漏
- MFSA 2013-38/CVE-2013-0793 (bmo#803870) 使用計時的歷程記錄導覽時發生跨網站指令碼 (XSS) 問題
- MFSA 2013-39/CVE-2013-0792 (bmo#722831) 轉譯灰階 PNG 影像時發生記憶體損毀
- 使用以 12.3 開頭的 GStreamer 1.0 (mozilla-gstreamer-1.patch)
xulrunner 中的變更:
- 17.0.5esr 的更新 (bnc#813026)
- 需要 NSPR 4.9.5 和 NSS 3.14.3
- MFSA 2013-30/CVE-2013-0788 其他記憶體安全危險
- MFSA 2013-31/CVE-2013-0800 (bmo#825721) Cairo 程式庫有超出邊界寫入問題
- MFSA 2013-35/CVE-2013-0796 (bmo#827106) Linux 上的 Mesa 圖形驅動程式會造成 WebGL 損毀
- MFSA 2013-36/CVE-2013-0795 (bmo#825697) 繞過 SOW 保護可允許複製受保護的節點
- MFSA 2013-37/CVE-2013-0794 (bmo#626775) 繞過 tab-modal 對話方塊來源洩漏
- MFSA 2013-38/CVE-2013-0793 (bmo#803870) 使用計時的歷程記錄導覽時發生跨網站指令碼 (XSS) 問題
解決方案
更新受影響的 Mozilla Firefox 及其他套件。另請參閱
https://bugzilla.novell.com/show_bug.cgi?id=813026
https://lists.opensuse.org/opensuse-updates/2013-04/msg00047.html
Plugin 詳細資訊
嚴重性: Critical
ID: 74965
檔案名稱: openSUSE-2013-309.nasl
版本: 1.8
類型: local
代理程式: unix
發布日期: 2014/6/13
更新日期: 2021/1/19
支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 7.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
時間媒介: CVSS2#E:U/RL:OF/RC:C
弱點資訊
CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:mozillathunderbird, p-cpe:/a:novell:opensuse:mozillathunderbird-buildsymbols, p-cpe:/a:novell:opensuse:mozillathunderbird-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-debugsource, p-cpe:/a:novell:opensuse:mozillathunderbird-devel, p-cpe:/a:novell:opensuse:mozillathunderbird-devel-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-common, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-js, p-cpe:/a:novell:opensuse:mozilla-js-32bit, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo, p-cpe:/a:novell:opensuse:mozilla-js-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr, p-cpe:/a:novell:opensuse:mozilla-nspr-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nspr-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nspr-debugsource, p-cpe:/a:novell:opensuse:mozilla-nspr-devel, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, p-cpe:/a:novell:opensuse:xulrunner, p-cpe:/a:novell:opensuse:xulrunner-32bit, p-cpe:/a:novell:opensuse:xulrunner-buildsymbols, p-cpe:/a:novell:opensuse:xulrunner-debuginfo, p-cpe:/a:novell:opensuse:xulrunner-debuginfo-32bit, p-cpe:/a:novell:opensuse:xulrunner-debugsource, p-cpe:/a:novell:opensuse:xulrunner-devel, p-cpe:/a:novell:opensuse:xulrunner-devel-debuginfo, cpe:/o:novell:opensuse:12.1, cpe:/o:novell:opensuse:12.2, cpe:/o:novell:opensuse:12.3
必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2013/4/4
弱點發布日期: 2013/2/8
參考資訊
CVE: CVE-2013-0788, CVE-2013-0789, CVE-2013-0791, CVE-2013-0792, CVE-2013-0793, CVE-2013-0794, CVE-2013-0795, CVE-2013-0796, CVE-2013-0800, CVE-2013-1620