SUSE SLED12 / SLES12 安全性更新:MozillaFirefox / mozilla-nss (SUSE-SU-2014:1510-1)
high Nessus Plugin ID 83849
語系:
概要
遠端 SUSE 主機缺少一個或多個安全性更新。說明
- Firefox 31.2.0 ESR 的更新 (bnc#900941)- MFSA 2014-74/CVE-2014-1574/CVE-2014-1575 (bmo#1001994、bmo#1011354、bmo#1018916、bmo#1020034、bmo#1023035、bmo#1032208、bmo#1033020、bmo#1034230、bmo#1061214、bmo#1061600、bmo#1064346、bmo#1072044、bmo#1072174) 其他記憶體安全危險 (rv:33.0/rv:31.2)
- MFSA 2014-75/CVE-2014-1576 (bmo#1041512) 操控 CSS 時出現緩衝區溢位
- MFSA 2014-76/CVE-2014-1577 (bmo#1012609) Web Audio 在自訂波形時有記憶體損毀問題
- MFSA 2014-77/CVE-2014-1578 (bmo#1063327) WebM 影片有超出邊界寫入問題
- MFSA 2014-79/CVE-2014-1581 (bmo#1068218) 與文字方向互動時有釋放後使用
- MFSA 2014-81/CVE-2014-1585/CVE-2014-1586 (bmo#1062876、bmo#1062981) iframe 內有不一致的影片共用問題
- MFSA 2014-82/CVE-2014-1583 (bmo#1015540) 透過警示 API 存取跨來源物件
- SSLv3 預設為停用。如需更詳細的資訊,請參閱 README.POODLE。
- 停用 call home 功能
- 3.17.2 的更新 (bnc#900941) 錯誤修正版本
- bmo#1049435 - 如果 p < q 則匯入 RSA 私密金鑰失敗
- bmo#1057161 - 在無效的 EC 金鑰上,NSS 在 100% CPU 之下懸置
- bmo#1078669 - 當使用 -- certVersion 參數時,
certutil 當機
- 從 3.17 分支的先前版本變更:3.17.1 的更新 (bnc#897890)
- MFSA 2014-73/CVE-2014-1568 (bmo#1064636、bmo#1069405) NSS 中的 RSA 簽章偽造
- 將程式庫的簽章演算法預設變更為 SHA256
- 新增 draft-ietf-tls-downgrade-scsv 支援
- 新增 clang-cl 支援至 NSS 構建系統
- 實作 TLS 1.3:
- 第 1 部分。交涉 TLS 1.3
- 第 2 部分。移除過時的加密套件和壓縮。
- 新增 little-endian powerpc64 支援 - 更新至 3.17
- Firefox 33 新功能的必要項目:
- 使用 ECDHE 時,TLS 伺服器程式碼可能會設定為每次交握時產生新的暫時 ECDH 金鑰,也就是將 SSL_REUSE_SERVER_ECDHE_KEY 通訊端選項設為 PR_FALSE。SSL_REUSE_SERVER_ECDHE_KEY 選項預設為 PR_TRUE,這表示伺服器的暫時 ECDH 金鑰在多個交握時可重複使用。此選項不會影響 TLS 用戶端程式碼,其可每次交握時一律產生新的暫時 ECDH 金鑰。新巨集
- SSL_REUSE_SERVER_ECDHE_KEY 值得注意的變更:
- 為記錄在 NSS 3.16.2 中新增的新參數,certutil 和 pp 工具的手冊頁面已更新。
請注意,Tenable Network Security 已直接從 SUSE 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
若要安裝此 SUSE 安全性更新,請使用 YaST online_update。或者,也可以執行針對您的產品所列的命令:
SUSE Linux Enterprise Software Development Kit 12:
zypper in -t patch SUSE-SLE-SDK-12-2014-81
SUSE Linux Enterprise Server 12:
zypper in -t patch SUSE-SLE-SERVER-12-2014-81
SUSE Linux Enterprise Desktop 12:
zypper in -t patch SUSE-SLE-DESKTOP-12-2014-81
若要使您的系統保持在最新狀態,請使用「zypper 修補程式」。
另請參閱
https://bugzilla.suse.com/show_bug.cgi?id=897890
https://bugzilla.suse.com/show_bug.cgi?id=900941
https://www.suse.com/security/cve/CVE-2014-1568/
https://www.suse.com/security/cve/CVE-2014-1574/
https://www.suse.com/security/cve/CVE-2014-1575/
https://www.suse.com/security/cve/CVE-2014-1576/
https://www.suse.com/security/cve/CVE-2014-1577/
https://www.suse.com/security/cve/CVE-2014-1578/
https://www.suse.com/security/cve/CVE-2014-1581/
https://www.suse.com/security/cve/CVE-2014-1583/
https://www.suse.com/security/cve/CVE-2014-1585/
Plugin 詳細資訊
嚴重性: High
ID: 83849
檔案名稱: suse_SU-2014-1510-1.nasl
版本: 2.11
類型: local
代理程式: unix
已發布: 2015/5/27
已更新: 2021/1/19
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:novell:suse_linux:mozillafirefox, p-cpe:/a:novell:suse_linux:mozillafirefox-branding-sle, p-cpe:/a:novell:suse_linux:mozillafirefox-debuginfo, p-cpe:/a:novell:suse_linux:mozillafirefox-debugsource, p-cpe:/a:novell:suse_linux:mozillafirefox-translations, p-cpe:/a:novell:suse_linux:libfreebl3, p-cpe:/a:novell:suse_linux:libfreebl3-debuginfo, p-cpe:/a:novell:suse_linux:libfreebl3-hmac, p-cpe:/a:novell:suse_linux:libsoftokn3, p-cpe:/a:novell:suse_linux:libsoftokn3-debuginfo, p-cpe:/a:novell:suse_linux:libsoftokn3-hmac, p-cpe:/a:novell:suse_linux:mozilla-nss, p-cpe:/a:novell:suse_linux:mozilla-nss-certs, p-cpe:/a:novell:suse_linux:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:suse_linux:mozilla-nss-debuginfo, p-cpe:/a:novell:suse_linux:mozilla-nss-debugsource, p-cpe:/a:novell:suse_linux:mozilla-nss-tools, p-cpe:/a:novell:suse_linux:mozilla-nss-tools-debuginfo, cpe:/o:novell:suse_linux:12
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2014/11/27
弱點發布日期: 2014/9/25
參考資訊
CVE: CVE-2014-1568, CVE-2014-1574, CVE-2014-1575, CVE-2014-1576, CVE-2014-1577, CVE-2014-1578, CVE-2014-1581, CVE-2014-1583, CVE-2014-1585, CVE-2014-1586
BID: 70116, 70424, 70425, 70426, 70427, 70428, 70430, 70436, 70439, 70440, 72178