openSUSE 安全性更新:MozillaFirefox / mozilla-nss (openSUSE-2015-185)

high Nessus Plugin ID 81589

概要

遠端 openSUSE 主機缺少安全性更新。

說明

Mozilla Firefox、mozilla-nss 已更新,可修正 18 個安全性問題。

MozillaFirefox 已更新至 36.0 版。已修正這些安全性問題:

- CVE-2015-0835、CVE-2015-0836:其他記憶體安全危險

- CVE-2015-0832:在主機名稱上附加句號可繞過 HPKP 和 HSTS 保護

- CVE-2015-0830:寫入字串時發生惡意的 WebGL 內容損毀

- CVE-2015-0834:TLS TURN 和 STUN 連線會以無訊息模式失敗,並改為簡單的 TCP 連線

- CVE-2015-0831:IndexedDB 中有釋放後使用錯誤

- CVE-2015-0829:MP4 視訊播放期間 libstagefright 發生緩衝區溢位

- CVE-2015-0828:使用 XHR 為零長度的非預設記憶體配置時發生重複釋放

- CVE-2015-0827:轉譯 SVG 內容期間發生超出邊界讀取和寫入

- CVE-2015-0826:CSS 重設樣式時出現緩衝區溢位

- CVE-2015-0825:MP3 播放期間發生緩衝區反向溢位

- CVE-2015-0824:在 Cairo 圖形程式庫中使用 DrawTarget 時發生當機

- CVE-2015-0823:OpenType 清理程式的開發人員主控台日期發生釋放後使用

- CVE-2015-0822:透過操控表單自動完成讀取本機檔案

- CVE-2015-0821:本機檔案或頁面中有權限的 URL 可開啟至新的索引標籤

- CVE-2015-0819:在背景索引標籤中列入 UI Tour 白名單的網站可偽造前景索引標籤

- CVE-2015-0820:Caja 編譯器 JavaScript Sandbox 繞過

mozilla-nss 已更新至版本 3.17.4,可修正以下問題:

- CVE-2014-1569:QuickDER 解碼器長度問題 (bnc#910647)。

- bmo#1084986:如果 SSL/TLS 連線失敗,由於用戶端和伺服器沒有啟用任何常用的通訊協定版本,NSS 已變更以報告錯誤碼 SSL_ERROR_UNSUPPORTED_VERSION (而非報告 SSL_ERROR_NO_CYPHER_OVERLAP)。

- bmo#1112461:如果多個憑證符合,libpkix 已修正為優先使用最新憑證。

- bmo#1094492:已修正金鑰組產生失敗過程中的記憶體損毀問題。

- bmo#1113632:已修正在 FIPS 模式中重新載入 PKCS#11 模組失敗的問題。

- bmo#1119983:已修正 NSS 伺服器程式碼與 LibreSSL 用戶端的互通性。

解決方案

更新受影響的 MozillaFirefox / mozilla-nss 套件。

另請參閱

https://bugzilla.opensuse.org/show_bug.cgi?id=910647

https://bugzilla.opensuse.org/show_bug.cgi?id=917597

Plugin 詳細資訊

嚴重性: High

ID: 81589

檔案名稱: openSUSE-2015-185.nasl

版本: 1.8

類型: local

代理程式: unix

已發布: 2015/3/2

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2015/2/26

參考資訊

CVE: CVE-2014-1569, CVE-2015-0819, CVE-2015-0820, CVE-2015-0821, CVE-2015-0822, CVE-2015-0823, CVE-2015-0824, CVE-2015-0825, CVE-2015-0826, CVE-2015-0827, CVE-2015-0828, CVE-2015-0829, CVE-2015-0830, CVE-2015-0831, CVE-2015-0832, CVE-2015-0834, CVE-2015-0835, CVE-2015-0836