openSUSE 安全性更新:MozillaFirefox (openSUSE-2014-476)

critical Nessus Plugin ID 76959

概要

遠端 openSUSE 主機缺少安全性更新。

說明

MozillaFirefox 已更新至 31 版,可修正數個安全性問題與錯誤:

- MFSA 2014-56/CVE-2014-1547/CVE-2014-1548 其他記憶體安全危險

- MFSA 2014-57/CVE-2014-1549 (bmo#1020205) Web Audio 進行播放緩衝期間發生緩衝區溢位

- MFSA 2014-58/CVE-2014-1550 (bmo#1020411) Web Audio 中因錯誤控制訊息排序而發生釋放後使用問題

- MFSA 2014-60/CVE-2014-1561 (bmo#1000514、bmo#910375) 工具列對話方塊自訂事件偽造

- MFSA 2014-61/CVE-2014-1555 (bmo#1023121) FireOnStateChange 事件發生釋放後使用問題

- MFSA 2014-62/CVE-2014-1556 (bmo#1028891) Cesium JavaScript 程式庫發生可惡意利用的 WebGL 損毀情況

- MFSA 2014-63/CVE-2014-1544 (bmo#963150) 當在受信任的快取中操控憑證期間發生釋放後使用問題 (已透過 NSS 3.16.2 需求解決)

- MFSA 2014-64/CVE-2014-1557 (bmo#913805) 調整高品質影像期間,Skia 程式庫中發生當機情形

- MFSA 2014-65/CVE-2014-1558/CVE-2014-1559/CVE-2014-1560 (bmo#1015973、bmo#1026022、bmo#997795) 憑證剖析遭非標準字元編碼損毀

- MFSA 2014-66/CVE-2014-1552 (bmo#985135) 透過重新導向進行 IFRAME 沙箱同源存取

Mozilla-nss 已更新至 3.16.3:新功能:

- CERT_GetGeneralNameTypeFromString (此函式已在 NSS 3.16.2 中新增,但其並未在公開標頭檔案中宣告。)值得注意的變更:

- 已移除下列 1024 位元 CA 憑證

- Entrust.net 安全伺服器憑證授權單位

- GTE CyberTrust 全域 Root

- ValiCert 類別 1 原則驗證授權單位

- ValiCert 類別 2 原則驗證授權單位

- ValiCert 類別 3 原則驗證授權單位

- 此外,也已依照 CA 的要求移除下列 CA 憑證:

- TDC 網際網路 Root CA

- 已新增下列 CA 憑證:

- WoSign 的憑證授權單位

- CA 沃通根证书

- DigiCert 保證的 ID Root G2

- DigiCert 保證的 ID Root G3

- DigiCert 全域 Root G2

- DigiCert 全域 Root G3

- DigiCert 信任的 Root G4

- QuoVadis Root CA 1 G3

- QuoVadis Root CA 2 G3

- QuoVadis Root CA 3 G3

- 下列 CA 憑證已變更信任位元

- 類別 3 公開主要憑證授權單位

- 類別 3 公開主要憑證授權單位

- 類別 2 公開主要憑證授權單位 - G2

- VeriSign 類別 2 公開主要憑證授權單位
- G3

- AC Raíz Certicámara S.A.

- NetLock Uzleti (類別 B) Tanusitvanykiado

- NetLock Expressz (類別 C) Tanusitvanykiado 在 3.16.2 新功能中的變更:

- 支援 DTLS 1.2。

- 伺服器端也支援 TLS 應用程式層通訊協定交涉 (ALPN) 延伸。

- 支援 RSA-OEAP。使用具有 CKM_RSA_PKCS_OAEP 機制的新 PK11_PrivDecrypt 與 PK11_PubEncrypt 函式。

- 適用於 32 位元與 64 位元 Windows 的全新 Intel AES 組件程式碼,由 Intel 的 Shay Gueron 與 Vlad Krasnov 共同開發。值得注意的變更:

- btoa 命令具有全新的命令行選項 -w 後置詞,其可造成以特定後置詞在 BEGIN/END 行中為輸出換行

- certutil 命令支援其他類型的主體別名延伸。

- certutil 命令透過從檔案載入二進位資料,支援一般憑證延伸,其已使用外部工具準備,或已從其他現有憑證擷取並轉儲存至檔案。

- certutil 命令支援三種新憑證使用量指示器。

- pp 命令支援列印 UTF-8 (-u)。

- 在 Linux 上,NSS 使用 -ffunction-sections
-fdata-sections 編譯器旗標與 --gc-sections 連結器旗標進行建構,可允許捨棄未使用的函式。
3.16.1 新功能中的變更:

- 已為 modutil 新增「ECC」旗標,可選取用於橢圓曲線密碼編譯 (ECC) 作業的模組。
新巨集

- PUBLIC_MECH_ECC_FLAG,橢圓曲線密碼編譯 (ECC) 作業的公開機制旗標

- SECMOD_ECC_FLAG,橢圓曲線密碼編譯 (ECC) 作業的 NSS 內部機制旗標。此巨集具有與 PUBLIC_MECH_ECC_FLAG 相同的數值。
值得注意的變更:

- 對法國政府 root CA ANSSI (DCISS) 所設的名稱限制。

解決方案

更新受影響的 MozillaFirefox 套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=887746

Plugin 詳細資訊

嚴重性: Critical

ID: 76959

檔案名稱: openSUSE-2014-476.nasl

版本: 1.5

類型: local

代理程式: unix

已發布: 2014/8/1

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, cpe:/o:novell:opensuse:12.3, cpe:/o:novell:opensuse:13.1

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2014/7/25

參考資訊

CVE: CVE-2014-1544, CVE-2014-1547, CVE-2014-1548, CVE-2014-1549, CVE-2014-1550, CVE-2014-1552, CVE-2014-1555, CVE-2014-1556, CVE-2014-1557, CVE-2014-1558, CVE-2014-1559, CVE-2014-1560, CVE-2014-1561