SUSE SLES11 安全性更新:MozillaFirefox (SUSE-SU-2016:2195-1)

critical Nessus Plugin ID 93313

概要

遠端 SUSE 主機缺少一個或多個安全性更新。

說明

Mozilla Firefox 已更新至 45.3.0 ESR,可修正下列問題 (bsc#991809):

- MFSA 2016-62/CVE-2016-2835/CVE-2016-2836 其他記憶體安全危險 (rv:48.0 / rv:45.3)

- MFSA 2016-63/CVE-2016-2830 頁面關閉時 Favicon 網路連線會持續

- MFSA 2016-64/CVE-2016-2838 轉譯具雙向內容的 SVG 時發生緩衝區溢位

- MFSA 2016-65/CVE-2016-2839 Cairo 轉譯因 FFmpeg 0.10 的記憶體配置問題而損毀

- MFSA 2016-67/CVE-2016-5252 2D 圖形轉譯期間發生堆疊反向溢位

- MFSA 2016-70/CVE-2016-5254 使用 alt 鍵和頂層功能表時有釋放後使用問題

- MFSA 2016-72/CVE-2016-5258 WebRTC 工作階段關閉期間 DTLS 有釋放後使用問題

- MFSA 2016-73/CVE-2016-5259 含有巢狀同步事件的服務背景工作有釋放後使用問題

- MFSA 2016-76/CVE-2016-5262 marquee 標籤上的指令碼可在沙箱 iframe 中執行

- MFSA 2016-77/CVE-2016-2837 ClearKey 內容解密模組 (CDM) 在視訊播放期間發生緩衝區溢位

- MFSA 2016-78/CVE-2016-5263 顯示轉換中的類型混淆

- MFSA 2016-79/CVE-2016-5264 套用 SVG 效果時發生釋放後使用問題

- MFSA 2016-80/CVE-2016-5265 使用本機 HTML 檔案和已儲存的捷徑檔案時發生同源原則違規情形

- CVE-2016-6354:修正可能的緩衝區滿溢 (bsc#990856) 也新增了一個暫時的因應措施:

- 暫時將 Firefox 連結至第一個 CPU 做為明顯爭用情形的 hotfix (bsc#989196、bsc#990628)

請注意,Tenable Network Security 已直接從 SUSE 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

若要安裝此 SUSE 安全性更新,請使用 YaST online_update。
或者,也可以執行針對您的產品所列的命令:

SUSE OpenStack Cloud 5:zypper in -t patch sleclo50sp3-MozillaFirefox-12722=1

SUSE Manager Proxy 2.1:zypper in -t patch slemap21-MozillaFirefox-12722=1

SUSE Manager 2.1:zypper in -t patch sleman21-MozillaFirefox-12722=1

SUSE Linux Enterprise Software Development Kit 11-SP4:zypper in -t patch sdksp4-MozillaFirefox-12722=1

SUSE Linux Enterprise Server 11-SP4:zypper in -t patch slessp4-MozillaFirefox-12722=1

SUSE Linux Enterprise Server 11-SP3-LTSS:zypper in -t patch slessp3-MozillaFirefox-12722=1

SUSE Linux Enterprise Point of Sale 11-SP3:zypper in -t patch sleposp3-MozillaFirefox-12722=1

SUSE Linux Enterprise Debuginfo 11-SP4:zypper in -t patch dbgsp4-MozillaFirefox-12722=1

SUSE Linux Enterprise Debuginfo 11-SP3:zypper in -t patch dbgsp3-MozillaFirefox-12722=1

若要使您的系統保持在最新狀態,請使用「zypper 修補程式」。

另請參閱

https://bugzilla.suse.com/show_bug.cgi?id=989196

https://bugzilla.suse.com/show_bug.cgi?id=990628

https://bugzilla.suse.com/show_bug.cgi?id=990856

https://bugzilla.suse.com/show_bug.cgi?id=991809

https://www.suse.com/security/cve/CVE-2016-2830/

https://www.suse.com/security/cve/CVE-2016-2835/

https://www.suse.com/security/cve/CVE-2016-2836/

https://www.suse.com/security/cve/CVE-2016-2837/

https://www.suse.com/security/cve/CVE-2016-2838/

https://www.suse.com/security/cve/CVE-2016-2839/

https://www.suse.com/security/cve/CVE-2016-5252/

https://www.suse.com/security/cve/CVE-2016-5254/

https://www.suse.com/security/cve/CVE-2016-5258/

https://www.suse.com/security/cve/CVE-2016-5259/

https://www.suse.com/security/cve/CVE-2016-5262/

https://www.suse.com/security/cve/CVE-2016-5263/

https://www.suse.com/security/cve/CVE-2016-5264/

https://www.suse.com/security/cve/CVE-2016-5265/

https://www.suse.com/security/cve/CVE-2016-6354/

http://www.nessus.org/u?bfab4923

Plugin 詳細資訊

嚴重性: Critical

ID: 93313

檔案名稱: suse_SU-2016-2195-1.nasl

版本: 2.10

類型: local

代理程式: unix

已發布: 2016/9/2

已更新: 2021/1/19

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:novell:suse_linux:mozillafirefox, p-cpe:/a:novell:suse_linux:mozillafirefox-translations, cpe:/o:novell:suse_linux:11

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2016/8/30

弱點發布日期: 2016/8/5

參考資訊

CVE: CVE-2016-2830, CVE-2016-2835, CVE-2016-2836, CVE-2016-2837, CVE-2016-2838, CVE-2016-2839, CVE-2016-5252, CVE-2016-5254, CVE-2016-5258, CVE-2016-5259, CVE-2016-5262, CVE-2016-5263, CVE-2016-5264, CVE-2016-5265, CVE-2016-6354