openSUSE 安全性更新:MozillaFirefox / mozilla-nss (openSUSE-2016-714)

high Nessus Plugin ID 91589

Synopsis

遠端 openSUSE 主機缺少安全性更新。

描述

此 Mozilla Firefox 47 更新可修正下列問題 (boo#983549):

安全性修正:

- CVE-2016-2815/CVE-2016-2818:其他記憶體安全危險 (boo#983638 MFSA 2016-49)

- CVE-2016-2819:剖析 HTML5 片段時發生緩衝區溢位 (boo#983655 MFSA 2016-50)

- CVE-2016-2821:從可編輯內容的文件中刪除表格時發生釋放後使用錯誤 (boo#983653 MFSA 2016-51)

- CVE-2016-2822:透過 SELECT 元素偽造位址列 (boo#983652 MFSA 2016-52)

- CVE-2016-2824:WebGL 著色器發生超出邊界寫入問題 (boo#983651 MFSA 2016-53)

- CVE-2016-2825:透過資料 URI 藉由設定 location.host 發生部分同源原則問題 (boo#983649 MFSA 2016-54)

- CVE-2016-2828:回收集區解構後在 WebGL 作業中使用紋時發生釋放後使用錯誤 (boo#983646 MFSA 2016-56)

- CVE-2016-2829:權限通知上顯示錯誤圖示 (boo#983644 MFSA 2016-57)

- CVE-2016-2831:無使用者權限便進入全螢幕且持續鎖定指標 (boo#983643 MFSA 2016-58)

- CVE-2016-2832:已停用的外掛程式透過 CSS 虛擬類別洩漏資訊 (boo#983632 MFSA 2016-59)

- CVE-2016-2833:Java applet 繞過 CSP 保護 (boo#983640 MFSA 2016-60)

Mozilla NSS 已更新至 3.23 版,可修正下列弱點:

- CVE-2016-2834:記憶體安全錯誤 (boo#983639 MFSA-2016-61)

包含下列非安全性變更:

- 針對使用快速機器的使用者啟用 VP9 視訊轉碼器

- 如果未安裝 Flash,現在可藉由 HTML5 視訊播放內嵌 YouTube 視訊

- 從智慧型手機或其他電腦的側邊列檢視和搜尋開啟的索引標籤

- 允許 https 資源的無快取向後/向前導覽

包括下列套件封裝變更:

- boo#981695:清除設定選項,尤其是移除 FF 已淘汰的 GStreamer 支援

- boo#980384:啟用在 x86_64 上以 PIE 和完整 relro 構建

提供下列新功能:

- 現在支援 ChaCha20/Poly1305 加密和 TLS 加密套件

- 已記錄 TLS 交握中傳送的 TLS 延伸模組清單,提高延伸主要密碼與伺服器的相容性

解決方案

更新受影響的 MozillaFirefox / mozilla-nss 套件。

另請參閱

https://bugzilla.mozilla.org/show_bug.cgi?id=1025267

https://bugzilla.mozilla.org/show_bug.cgi?id=1193093

https://bugzilla.mozilla.org/show_bug.cgi?id=1206283

https://bugzilla.mozilla.org/show_bug.cgi?id=1221620

https://bugzilla.mozilla.org/show_bug.cgi?id=1223810

https://bugzilla.mozilla.org/show_bug.cgi?id=1234147

https://bugzilla.mozilla.org/show_bug.cgi?id=1241034

https://bugzilla.mozilla.org/show_bug.cgi?id=1241037

https://bugzilla.mozilla.org/show_bug.cgi?id=1241896

https://bugzilla.mozilla.org/show_bug.cgi?id=1242798

https://bugzilla.mozilla.org/show_bug.cgi?id=1243466

https://bugzilla.mozilla.org/show_bug.cgi?id=1245528

https://bugzilla.mozilla.org/show_bug.cgi?id=1245743

https://bugzilla.mozilla.org/show_bug.cgi?id=1248329

https://bugzilla.mozilla.org/show_bug.cgi?id=1248580

https://bugzilla.mozilla.org/show_bug.cgi?id=1256493

https://bugzilla.mozilla.org/show_bug.cgi?id=1256739

https://bugzilla.mozilla.org/show_bug.cgi?id=1256968

https://bugzilla.mozilla.org/show_bug.cgi?id=1261230

https://bugzilla.mozilla.org/show_bug.cgi?id=1261752

https://bugzilla.mozilla.org/show_bug.cgi?id=1261933

https://bugzilla.mozilla.org/show_bug.cgi?id=1263384

https://bugzilla.mozilla.org/show_bug.cgi?id=1264300

https://bugzilla.mozilla.org/show_bug.cgi?id=1264575

https://bugzilla.mozilla.org/show_bug.cgi?id=1265577

https://bugzilla.mozilla.org/show_bug.cgi?id=1267130

https://bugzilla.mozilla.org/show_bug.cgi?id=1269729

https://bugzilla.mozilla.org/show_bug.cgi?id=1270381

https://bugzilla.mozilla.org/show_bug.cgi?id=1271037

https://bugzilla.mozilla.org/show_bug.cgi?id=1271460

https://bugzilla.mozilla.org/show_bug.cgi?id=1273129

https://bugzilla.mozilla.org/show_bug.cgi?id=1273202

https://bugzilla.mozilla.org/show_bug.cgi?id=1273701

https://bugzilla.mozilla.org/show_bug.cgi?id=908933

https://bugzilla.opensuse.org/show_bug.cgi?id=980384

https://bugzilla.opensuse.org/show_bug.cgi?id=981695

https://bugzilla.opensuse.org/show_bug.cgi?id=983549

https://bugzilla.opensuse.org/show_bug.cgi?id=983632

https://bugzilla.opensuse.org/show_bug.cgi?id=983638

https://bugzilla.opensuse.org/show_bug.cgi?id=983639

https://bugzilla.opensuse.org/show_bug.cgi?id=983640

https://bugzilla.opensuse.org/show_bug.cgi?id=983643

https://bugzilla.opensuse.org/show_bug.cgi?id=983644

https://bugzilla.opensuse.org/show_bug.cgi?id=983646

https://bugzilla.opensuse.org/show_bug.cgi?id=983649

https://bugzilla.opensuse.org/show_bug.cgi?id=983651

https://bugzilla.opensuse.org/show_bug.cgi?id=983652

https://bugzilla.opensuse.org/show_bug.cgi?id=983653

https://bugzilla.opensuse.org/show_bug.cgi?id=983655

Plugin 詳細資訊

嚴重性: High

ID: 91589

檔案名稱: openSUSE-2016-714.nasl

版本: 2.10

類型: local

代理程式: unix

已發布: 2016/6/14

已更新: 2021/1/19

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: Critical

分數: 9.2

CVSS v2

風險因素: High

基本分數: 9.3

時間分數: 8.1

媒介: AV:N/AC:M/Au:N/C:C/I:C/A:C

時間媒介: E:H/RL:OF/RC:C

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 8.4

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: E:H/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:MozillaFirefox, p-cpe:/a:novell:opensuse:MozillaFirefox-branding-upstream, p-cpe:/a:novell:opensuse:MozillaFirefox-buildsymbols, p-cpe:/a:novell:opensuse:MozillaFirefox-debuginfo, p-cpe:/a:novell:opensuse:MozillaFirefox-debugsource, p-cpe:/a:novell:opensuse:MozillaFirefox-devel, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-common, p-cpe:/a:novell:opensuse:MozillaFirefox-translations-other, p-cpe:/a:novell:opensuse:libfreebl3, p-cpe:/a:novell:opensuse:libfreebl3-32bit, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo, p-cpe:/a:novell:opensuse:libfreebl3-debuginfo-32bit, p-cpe:/a:novell:opensuse:libsoftokn3, p-cpe:/a:novell:opensuse:libsoftokn3-32bit, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo, p-cpe:/a:novell:opensuse:libsoftokn3-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss, p-cpe:/a:novell:opensuse:mozilla-nss-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs, p-cpe:/a:novell:opensuse:mozilla-nss-certs-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-certs-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-debugsource, p-cpe:/a:novell:opensuse:mozilla-nss-devel, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo, p-cpe:/a:novell:opensuse:mozilla-nss-sysinit-debuginfo-32bit, p-cpe:/a:novell:opensuse:mozilla-nss-tools, p-cpe:/a:novell:opensuse:mozilla-nss-tools-debuginfo, cpe:/o:novell:opensuse:13.1

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2016/6/11

參考資訊

CVE: CVE-2016-1950, CVE-2016-2815, CVE-2016-2818, CVE-2016-2819, CVE-2016-2821, CVE-2016-2822, CVE-2016-2824, CVE-2016-2825, CVE-2016-2828, CVE-2016-2829, CVE-2016-2831, CVE-2016-2832, CVE-2016-2833, CVE-2016-2834