openSUSEセキュリティ更新プログラム:webkit2gtk3 (openSUSE-2017-1268)

high Nessus プラグイン ID 104526

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

この更新プログラムはwebkit2gtk3をバージョン2.18.0に更新し、以下の問題を修正します。修正されたセキュリティ問題:

これらのセキュリティの問題が修正されました:

- CVE-2017-7039: リモート攻撃者が細工されXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性がありました(bsc#1050469)。

- CVE-2017-7018: リモート攻撃者が細工されXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性がありました(bsc#1050469)。

- CVE-2017-7030: リモート攻撃者が細工されXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性がありました(bsc#1050469)。

- CVE-2017-7037: リモート攻撃者が細工されXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性がありました(bsc#1050469)。

- CVE-2017-7034: リモート攻撃者が細工されXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性がありました(bsc#1050469)。

- CVE-2017-7055: リモート攻撃者が細工されXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性がありました(bsc#1050469)。

- CVE-2017-7056: リモート攻撃者が細工されXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性がありました(bsc#1050469)。

- CVE-2017-7064: リモートの攻撃者が細工されたアプリを介して、意図されたメモリ読み取り制限をバイパスできる可能性があった問題が修正されました(bsc#1050469)。

- CVE-2017-7061: リモート攻撃者が細工されXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性がありました(bsc#1050469)。

- CVE-2017-7048: リモート攻撃者が細工されXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性がありました(bsc#1050469)。

- CVE-2017-7046: リモート攻撃者が細工されXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性がありました(bsc#1050469)。

- CVE-2017-2538: リモート攻撃者が細工されたXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性があった問題が修正されました(bsc#1045460)

- CVE-2017-2496: リモート攻撃者が細工されたXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性があった問題が修正されました。

- CVE-2017-2539: リモート攻撃者が細工されたXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性があった問題が修正されました。

- CVE-2017-2510: リモート攻撃者が、pageshowイベントと不適切に相互作用する細工されたWebサイトを介して、ユニバーサルXSS(UXSS)攻撃を実行できる可能性があった問題が修正されました。

- CVE-2017-2365: リモート攻撃者が細工されたWebサイトを介して、同一オリジンポリシーをバイパスしたり、機密情報を取得したりする可能性があった問題が修正されました(bsc#1024749)。

- CVE-2017-2366: リモート攻撃者が細工されたXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性があった問題が修正されました(bsc#1024749)

- CVE-2017-2373: リモート攻撃者が細工されたXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性があった問題が修正されました(bsc#1024749)

- CVE-2017-2363: リモート攻撃者が細工されたWebサイトを介して、同一オリジンポリシーをバイパスしたり、機密情報を取得したりする可能性があった問題が修正されました(bsc#1024749)。

- CVE-2017-2362: リモート攻撃者が細工されたXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性があった問題が修正されました(bsc#1024749)

- CVE-2017-2350: リモート攻撃者が細工されたWebサイトを介して、同一オリジンポリシーをバイパスしたり、機密情報を取得したりする可能性があった問題が修正されました(bsc#1024749)。

- CVE-2017-2350: リモート攻撃者が細工されたWebサイトを介して、同一オリジンポリシーをバイパスしたり、機密情報を取得したりする可能性があった問題が修正されました(bsc#1024749)。

- CVE-2017-2354: リモート攻撃者が細工されXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性がありました(bsc#1024749)。

- CVE-2017-2355: リモート攻撃者が細工されたWebサイトを介して、任意のコードを実行したり、サービス拒否(初期化されていないメモリアクセスとアプリケーションのクラッシュ)を引き起こしたりする可能性があった問題が修正されました(bsc#1024749)

- CVE-2017-2356: リモート攻撃者が細工されたXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性があった問題が修正されました(bsc#1024749)

- CVE-2017-2371: リモート攻撃者が細工されたWebサイトを介してポップアップを起動できる可能性がある問題が修正されました(bsc#1024749)

- CVE-2017-2364: リモート攻撃者が細工されたWebサイトを介して、同一オリジンポリシーをバイパスしたり、機密情報を取得したりする可能性があった問題が修正されました(bsc#1024749)。

- CVE-2017-2369: リモート攻撃者が細工されたXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性があった問題が修正されました(bsc#1024749)

- CVE-2016-7656: リモート攻撃者が細工されたXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性があった問題が修正されました(bsc#1020950)

- CVE-2016-7635: リモート攻撃者が細工されたXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性があった問題が修正されました(bsc#1020950)

- CVE-2016-7654: リモート攻撃者が細工されたXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性があった問題が修正されました(bsc#1020950)

- CVE-2016-7639: リモート攻撃者が細工されたXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性があった問題が修正されました(bsc#1020950)

- CVE-2016-7645: リモート攻撃者が細工されたXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性があった問題が修正されました(bsc#1020950)

- CVE-2016-7652: リモート攻撃者が細工されたXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性があった問題が修正されました(bsc#1020950)

- CVE-2016-7641: リモート攻撃者が細工されたXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性があった問題が修正されました(bsc#1020950)

- CVE-2016-7632: リモート攻撃者が細工されたXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性があった問題が修正されました(bsc#1020950)

- CVE-2016-7599: リモート攻撃者が、HTTPリダイレクトを使用する細工されたWebサイトを介して、同一オリジンポリシーをバイパスしたり、機密情報を取得したりする可能性があった問題が修正されました(bsc#1020950)。

- CVE-2016-7592: リモート攻撃者がWebサイトでの細工されたJavaScriptプロンプトを介して、機密情報を取得できる可能性があった問題が修正されました(bsc#1020950)。

- CVE-2016-7589: リモート攻撃者が細工されたXMLドキュメントを介して、任意のコードを実行したり、サービス拒否(メモリ破損)を引き起こしたりする可能性があった問題が修正されました(bsc#1020950)

- CVE-2016-7623: リモート攻撃者がWebサイトでのブロブURLを介して、機密情報を取得できる可能性があった問題が修正されました(bsc#1020950)。

- CVE-2016-7586: リモート攻撃者がWebサイトでの細工されたWebサイトを介して、機密情報を取得できる可能性があった問題が修正されました(bsc#1020950)。

その他のセキュリティ関連以外の修正については、変更ログを確認してください。

この更新はSUSEからインポートされました:SLE-12-SP2: 更新プロジェクトを更新します。

ソリューション

影響を受けるwebkit2gtk3パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1020950

https://bugzilla.opensuse.org/show_bug.cgi?id=1024749

https://bugzilla.opensuse.org/show_bug.cgi?id=1045460

https://bugzilla.opensuse.org/show_bug.cgi?id=1050469

https://features.opensuse.org/

プラグインの詳細

深刻度: High

ID: 104526

ファイル名: openSUSE-2017-1268.nasl

バージョン: 3.7

タイプ: local

エージェント: unix

公開日: 2017/11/13

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

Base Score: 6.8

Temporal Score: 5.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: High

Base Score: 8.8

Temporal Score: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:libjavascriptcoregtk-4_0-18, p-cpe:/a:novell:opensuse:libjavascriptcoregtk-4_0-18-32bit, p-cpe:/a:novell:opensuse:libjavascriptcoregtk-4_0-18-debuginfo, p-cpe:/a:novell:opensuse:libjavascriptcoregtk-4_0-18-debuginfo-32bit, p-cpe:/a:novell:opensuse:libwebkit2gtk-4_0-37, p-cpe:/a:novell:opensuse:libwebkit2gtk-4_0-37-32bit, p-cpe:/a:novell:opensuse:libwebkit2gtk-4_0-37-debuginfo, p-cpe:/a:novell:opensuse:libwebkit2gtk-4_0-37-debuginfo-32bit, p-cpe:/a:novell:opensuse:libwebkit2gtk3-lang, p-cpe:/a:novell:opensuse:typelib-1_0-javascriptcore-4_0, p-cpe:/a:novell:opensuse:typelib-1_0-webkit2-4_0, p-cpe:/a:novell:opensuse:typelib-1_0-webkit2webextension-4_0, p-cpe:/a:novell:opensuse:webkit-jsc-4, p-cpe:/a:novell:opensuse:webkit-jsc-4-debuginfo, p-cpe:/a:novell:opensuse:webkit2gtk-4_0-injected-bundles, p-cpe:/a:novell:opensuse:webkit2gtk-4_0-injected-bundles-debuginfo, p-cpe:/a:novell:opensuse:webkit2gtk3-debugsource, p-cpe:/a:novell:opensuse:webkit2gtk3-devel, p-cpe:/a:novell:opensuse:webkit2gtk3-plugin-process-gtk2, p-cpe:/a:novell:opensuse:webkit2gtk3-plugin-process-gtk2-debuginfo, cpe:/o:novell:opensuse:42.2, cpe:/o:novell:opensuse:42.3

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2017/11/10

脆弱性公開日: 2017/2/20

参照情報

CVE: CVE-2016-7586, CVE-2016-7589, CVE-2016-7592, CVE-2016-7599, CVE-2016-7623, CVE-2016-7632, CVE-2016-7635, CVE-2016-7639, CVE-2016-7641, CVE-2016-7645, CVE-2016-7652, CVE-2016-7654, CVE-2016-7656, CVE-2017-2350, CVE-2017-2354, CVE-2017-2355, CVE-2017-2356, CVE-2017-2362, CVE-2017-2363, CVE-2017-2364, CVE-2017-2365, CVE-2017-2366, CVE-2017-2369, CVE-2017-2371, CVE-2017-2373, CVE-2017-2496, CVE-2017-2510, CVE-2017-2538, CVE-2017-2539, CVE-2017-7018, CVE-2017-7030, CVE-2017-7034, CVE-2017-7037, CVE-2017-7039, CVE-2017-7046, CVE-2017-7048, CVE-2017-7055, CVE-2017-7056, CVE-2017-7061, CVE-2017-7064