openSUSE 安全性更新:MozillaFirefox / mozilla-nss (openSUSE-2016-704)
high Nessus Plugin ID 91586
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
此 Mozilla Firefox 47 更新可修正下列問題 (boo#983549):安全性修正:
- CVE-2016-2815/CVE-2016-2818:其他記憶體安全危險 (boo#983638 MFSA 2016-49)
- CVE-2016-2819:剖析 HTML5 片段時發生緩衝區溢位 (boo#983655 MFSA 2016-50)
- CVE-2016-2821:從可編輯內容的文件中刪除表格時發生釋放後使用錯誤 (boo#983653 MFSA 2016-51)
- CVE-2016-2822:透過 SELECT 元素偽造位址列 (boo#983652 MFSA 2016-52)
- CVE-2016-2824:WebGL 著色器發生超出邊界寫入問題 (boo#983651 MFSA 2016-53)
- CVE-2016-2825:透過資料 URI 藉由設定 location.host 發生部分同源原則問題 (boo#983649 MFSA 2016-54)
- CVE-2016-2828:回收集區解構後在 WebGL 作業中使用紋時發生釋放後使用錯誤 (boo#983646 MFSA 2016-56)
- CVE-2016-2829:權限通知上顯示錯誤圖示 (boo#983644 MFSA 2016-57)
- CVE-2016-2831:無使用者權限便進入全螢幕且持續鎖定指標 (boo#983643 MFSA 2016-58)
- CVE-2016-2832:已停用的外掛程式透過 CSS 虛擬類別洩漏資訊 (boo#983632 MFSA 2016-59)
- CVE-2016-2833:Java applet 繞過 CSP 保護 (boo#983640 MFSA 2016-60)
Mozilla NSS 已更新至 3.23 版,可修正下列弱點:
- CVE-2016-2834:記憶體安全錯誤 (boo#983639 MFSA-2016-61) 包含下列非安全性變更:
- 針對使用快速機器的使用者啟用 VP9 視訊轉碼器
- 如果未安裝 Flash,現在可藉由 HTML5 視訊播放內嵌 YouTube 視訊
- 從智慧型手機或其他電腦的側邊列檢視和搜尋開啟的索引標籤
- 允許 https 資源的無快取向後/向前導覽
包括下列套件封裝變更:
- boo#981695:清除設定選項,尤其是移除 FF 已淘汰的 GStreamer 支援
- boo#980384:啟用在 x86_64 上以 PIE 和完整 relro 構建
提供下列新功能:
- 現在支援 ChaCha20/Poly1305 加密和 TLS 加密套件
- 已記錄 TLS 交握中傳送的 TLS 延伸模組清單,提高延伸主要密碼與伺服器的相容性
解決方案
更新受影響的 MozillaFirefox / mozilla-nss 套件。另請參閱
https://bugzilla.opensuse.org/show_bug.cgi?id=980384
https://bugzilla.opensuse.org/show_bug.cgi?id=981695
https://bugzilla.opensuse.org/show_bug.cgi?id=983549
https://bugzilla.opensuse.org/show_bug.cgi?id=983632
https://bugzilla.opensuse.org/show_bug.cgi?id=983638
https://bugzilla.opensuse.org/show_bug.cgi?id=983639
https://bugzilla.opensuse.org/show_bug.cgi?id=983640
https://bugzilla.opensuse.org/show_bug.cgi?id=983643
https://bugzilla.opensuse.org/show_bug.cgi?id=983644
https://bugzilla.opensuse.org/show_bug.cgi?id=983646
https://bugzilla.opensuse.org/show_bug.cgi?id=983649
https://bugzilla.opensuse.org/show_bug.cgi?id=983651
https://bugzilla.opensuse.org/show_bug.cgi?id=983652
Plugin 詳細資訊
嚴重性: High
ID: 91586
檔案名稱: openSUSE-2016-704.nasl
版本: 2.11
類型: local
代理程式: unix
已發布: 2016/6/14
已更新: 2021/1/19
支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: High
分數: 8.9
CVSS v2
風險因素: High
基本分數: 9.3
時間分數: 8.1
媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS v3
風險因素: High
基本分數: 8.8
時間分數: 8.4
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:H/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:novell:opensuse:mozillafirefox, p-cpe:/a:novell:opensuse:mozillafirefox-branding-upstream, p-cpe:/a:novell:opensuse:mozillafirefox-buildsymbols, p-cpe:/a:novell:opensuse:mozillafirefox-debuginfo, p-cpe:/a:novell:opensuse:mozillafirefox-debugsource, p-cpe:/a:novell:opensuse:mozillafirefox-devel, p-cpe:/a:novell:opensuse:mozillafirefox-translations-common, p-cpe:/a:novell:opensuse:mozillafirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, cpe:/o:novell:opensuse:13.2, cpe:/o:novell:opensuse:42.1
必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2016/6/11
參考資訊
CVE: CVE-2016-2815, CVE-2016-2818, CVE-2016-2819, CVE-2016-2821, CVE-2016-2822, CVE-2016-2824, CVE-2016-2825, CVE-2016-2828, CVE-2016-2829, CVE-2016-2831, CVE-2016-2832, CVE-2016-2833, CVE-2016-2834