openSUSE 安全性更新:firefox / seamonkey / thunderbird (openSUSE-SU-2014:0212-1)

critical Nessus Plugin ID 75253

概要

遠端 openSUSE 主機缺少安全性更新。

說明

Mozilla Firefox 已更新至 27 版。Mozilla SeaMonkey 已更新至 2.24,可修正與 Firefox 27 類似的問題。Mozilla Thunderbird 已更新至 24.3.0,可修正與 Firefox 27 類似的問題。

Firefox 27 版提供 TLS 1.2 支援作為主要安全性功能。

此更新亦會修正下列安全性問題:

- MFSA 2014-01/CVE-2014-1477/CVE-2014-1478 其他記憶體安全危險 (rv:27.0 / rv:24.3)

- MFSA 2014-02/CVE-2014-1479 (bmo#911864) 使用 XBL 範圍複製受保護內容

- MFSA 2014-03/CVE-2014-1480 (bmo#916726) 在出現下載提示時,遺漏 UI 選取逾時

- MFSA 2014-04/CVE-2014-1482 (bmo#943803) 錯誤使用 RasterImage 捨棄的影像

- MFSA 2014-05/CVE-2014-1483 (bmo#950427) iframes 上 *FromPoint 的資訊洩漏

- MFSA 2014-06/CVE-2014-1484 (bmo#953993) 設定檔路徑洩漏至 Android 系統記錄檔

- MFSA 2014-07/CVE-2014-1485 (bmo#910139) 將 XSLT 樣式表視為內容安全性原則中的樣式

- MFSA 2014-08/CVE-2014-1486 (bmo#942164) imgRequestProxy 和影像處理發生釋放後使用問題

- MFSA 2014-09/CVE-2014-1487 (bmo#947592) 透過 web 背景工作發生的跨來源資訊洩漏

- MFSA 2014-10/CVE-2014-1489 (bmo#959531) Firefox 預設起始頁面 UI 內容可由指令碼叫用

- MFSA 2014-11/CVE-2014-1488 (bmo#950604) 在將 Web 背景工作與 asm.js 搭配使用時當機

- MFSA 2014-12/CVE-2014-1490/CVE-2014-1491 (bmo#934545、bmo#930874、bmo#930857) NSS 票證處理問題

- MFSA 2014-13/CVE-2014-1481(bmo#936056) 對 Window 物件存取權的不一致 JavaScript 處理

Mozilla NSS 已更新至 3.15.4:

- Firefox 27 的必要項目

- 定期 CA root 儲存更新 (1.96)

- 已重新排序在 SSL/TLS 用戶端 hello 訊息中提供的加密套件,以符合最新的最佳做法。

- 已改善 SSL/TLS false start。除了啟用 SSL_ENABLE_FALSE_START 選項外,應用程式現在還必須使用 SSL_SetCanFalseStartCallback 函式註冊回呼。

- false start 功能啟用時,libssl 有時會從 PR_Recv 傳回未加密且未經驗證的資料 (CVE-2013-1740、bmo#919877)

- MFSA 2014-12/CVE-2014-1490/CVE-2014-1491 NSS 票證處理問題新功能

- 已使用 HTTP GET 方法實作 OCSP 查詢,這是新的預設做法,且將回復為 HTTP POST 方法。

- 已針對測試的目的實作 OCSP 伺服器功能 (httpserv 公用程式)。

- 支援 TLS 1.2 用戶端驗證的 SHA-1 簽章。

- 已將 --empty-password 命令行選項新增至 certutil,以與 -N 搭配使用:建立新資料庫時使用空白密碼。

- 已將 -w 命令行選項新增至 pp:不對長輸出行換行。

解決方案

更新受影響的 firefox / seamonkey / thunderbird 套件。

另請參閱

https://lists.opensuse.org/opensuse-updates/2014-02/msg00027.html

Plugin 詳細資訊

嚴重性: Critical

ID: 75253

檔案名稱: openSUSE-2014-119.nasl

版本: 1.5

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2021/1/19

支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 7.4

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 8.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:mozillathunderbird, p-cpe:/a:novell:opensuse:mozillathunderbird-buildsymbols, p-cpe:/a:novell:opensuse:mozillathunderbird-debuginfo, p-cpe:/a:novell:opensuse:mozillathunderbird-debugsource, p-cpe:/a:novell:opensuse:mozillathunderbird-devel, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-common, p-cpe:/a:novell:opensuse:mozillathunderbird-translations-other, p-cpe:/a:novell:opensuse:enigmail, p-cpe:/a:novell:opensuse:enigmail-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, p-cpe:/a:novell:opensuse:seamonkey, p-cpe:/a:novell:opensuse:seamonkey-debuginfo, p-cpe:/a:novell:opensuse:seamonkey-debugsource, p-cpe:/a:novell:opensuse:seamonkey-dom-inspector, p-cpe:/a:novell:opensuse:seamonkey-irc, p-cpe:/a:novell:opensuse:seamonkey-translations-common, p-cpe:/a:novell:opensuse:seamonkey-translations-other, p-cpe:/a:novell:opensuse:seamonkey-venkman, cpe:/o:novell:opensuse:12.3, cpe:/o:novell:opensuse:13.1

必要的 KB 項目: Host/cpu, Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/2/6

參考資訊

CVE: CVE-2013-1740, CVE-2014-1477, CVE-2014-1478, CVE-2014-1479, CVE-2014-1480, CVE-2014-1481, CVE-2014-1482, CVE-2014-1483, CVE-2014-1484, CVE-2014-1485, CVE-2014-1486, CVE-2014-1487, CVE-2014-1488, CVE-2014-1489, CVE-2014-1490, CVE-2014-1491

BID: 64944, 65316, 65317, 65320, 65321, 65322, 65323, 65324, 65326, 65328, 65329, 65330, 65331, 65332, 65334, 65335