SUSE SLES10 / SLES11 安全性更新：Mozilla Firefox (SUSE-SU-2015:0447-1)

high Nessus Plugin ID 83692

語系：

概要

遠端 SUSE 主機缺少一個或多個安全性更新。

說明

Mozilla Firefox 已更新至版本 31.5.0 ESR，修正了五個安全性問題。

已修正這些安全性問題：

- CVE-2015-0836：31.5 版以前的 Mozilla Firefox 瀏覽器引擎有多個不明弱點，允許遠端攻擊者透過不明向量來引發拒絕服務 (記憶體損毀及應用程式損毀)，或可能執行任意程式碼 (bnc#917597)。

- CVE-2015-0827：在早於 31.5 版的 Mozilla Firefox 中，mozilla::gfx::CopyRect 函式有堆積型緩衝區溢位，允許遠端攻擊者透過格式錯誤的 SVG 圖形，從未初始化的處理程序記憶體取得敏感資訊 (bnc#917597)。

- CVE-2015-0835：36.0 版以前的 Mozilla Firefox 瀏覽器引擎有多個不明弱點，允許遠端攻擊者透過不明向量來引發拒絕服務 (記憶體損毀及應用程式損毀)，或可能執行任意程式碼 (bnc#917597)。

- CVE-2015-0831：在早於 31.5 版的 Mozilla Firefox 中，mozilla::dom::IndexedDB::IDBObjectStore::CreateIndex 函式有釋放後使用弱點，允許遠端攻擊者利用在 IndexedDB 索引建立期間不當處理的特製內容，執行任意程式碼或引發拒絕服務 (堆積記憶體損毀) (bnc#917597)。

- CVE-2015-0822：在早於 31.5 版的 Mozilla Firefox 中，表單自動完成功能允許遠端攻擊者透過特製的 JavaScript 程式碼讀取任意檔案 (bnc#917597)。

請注意，Tenable Network Security 已直接從 SUSE 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

解決方案

若要安裝此 SUSE 安全性更新，請使用 YaST online_update。
或者，也可以執行針對您的產品所列的命令：

SUSE Linux Enterprise Server 11 SP2 LTSS：

zypper in -t patch slessp2-MozillaFirefox=10377

SUSE Linux Enterprise Server 11 SP1 LTSS：

zypper in -t patch slessp1-MozillaFirefox=10368

若要使您的系統保持在最新狀態，請使用「zypper 修補程式」。

另請參閱

https://bugzilla.suse.com/show_bug.cgi?id=917597

http://www.nessus.org/u?bb48d3b4

http://www.nessus.org/u?b1ea9cff

http://www.nessus.org/u?78e37051

https://www.suse.com/security/cve/CVE-2015-0822/

https://www.suse.com/security/cve/CVE-2015-0827/

https://www.suse.com/security/cve/CVE-2015-0831/

https://www.suse.com/security/cve/CVE-2015-0836/

http://www.nessus.org/u?36576be6

Plugin 詳細資訊

嚴重性: High

ID: 83692

檔案名稱: suse_SU-2015-0447-1.nasl

版本: 2.11

類型: local

代理程式: unix

系列: SuSE Local Security Checks

已發布: 2015/5/20

已更新: 2021/1/6

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.5

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:novell:suse_linux:mozillafirefox, p-cpe:/a:novell:suse_linux:mozillafirefox-translations, cpe:/o:novell:suse_linux:10, cpe:/o:novell:suse_linux:11

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/3/6

弱點發布日期: 2015/2/25

參考資訊

CVE: CVE-2015-0822, CVE-2015-0827, CVE-2015-0831, CVE-2015-0835, CVE-2015-0836

BID: 72742, 72746, 72748, 72755, 72756