Fedora 28:mozilla-noscript(2018-e9821afbca)

critical Nessus プラグイン ID 120875

Language:

概要

リモートのFedoraホストにセキュリティ更新プログラムがありません。

説明

10.1.8.16以降の変更:===

v 10.1.9.6 =============================================================

- [TB]レガシーの外部メッセージ受信者を丁寧に処理します

- [XSS]既知のHTML5イベントを更新しました

- IPV6サポートの強化

- プロトコル専用エントリのUIサポート

v 10.1.9.5 =============================================================

- 様々なコンテンツスクリプトのタイミングに関連する問題を修正(報告してくれたtherube氏に感謝の意を表します)

v 10.1.9.4 =============================================================

- ポリシーが誤って無効な一致パターンにマッピングされる場合の完全な破損を防止します

- 内部メッセージングにより、複数のオプションウィンドウへの対処が改善されました

- 複数のCSP DOMの挿入を回避します

v 10.1.9.3 =============================================================

- エンベッダーを壊し、潜在的な内部メッセージループを引き起こすメッセージ処理の回帰を修正しました

v 10.1.9.2 =============================================================

- より効率的なwindow.nameベースのタブスコープの権限永続化

- URL解析のバグを修正しました

- requestKey生成のバグを修正しました

- [ビルド]強化されたTLDデータ更新サブシステム

- [UI] CUSTOM事前設定が、一時/永続ステータスを含む、現在適用されている事前設定で初期化されます

- 内部メッセージのディスパッチを改善し、潜在的な競合状態を回避しました

- [L10n] Transifex統合

- HEADではなく、DOM注入されたCSPの回避策が、ルート要素に追加されたときに反映されません

- FQDNの透過的なサポート

- より良いファイル:- プロトコルサポート

- メディア/プラグインドキュメントのフルページプレースホルダー

v 10.1.9.1 =============================================================

- プライベートウィンドウなどの、サービスワーカーが無効になっているコンテキストでNOSCRIPTエミュレーションが実行されない問題を修正しました(パッチについてPeter Wu氏に感謝します)

v 10.1.9 =============================================================

- CSPバックエンドを完全に改良し、webRequestとDOMの両方でポリシーを実施しました

- リロードのないサービスワーカーのバスティング

- 強制リロードを含む、旧式のフェールセーフを削除しました

- 権限の変更に関するポップアップUIフィードバックのタイミングを改善

- 初期化の後に「started」メッセージを送信して、エンベッダー(Torブラウザなど)がNoScriptと対話するのを支援します

- TLDを更新しました

v 10.1.8.23 =============================================================

- CSP管理リファクタリング前のリロードループのホットフィックス

v 10.1.8.22 =============================================================

- 制限されていないタブのリロードループを修正しました(報告してくれたrandomに感謝)

v 10.1.8.20 =============================================================

- Sites.domainImplies()による最適化の誤りを修正しました。

- [L10n]カタロニア語(ca)を追加しました

v 10.1.8.19 =============================================================

- onBeforeRequestが呼び出されないためにセッション復元でonResponseHeaderが失敗する問題を修正しました。

- 回帰を修正しました:フレーム化ドキュメントのURLがUIで報告されません(報告してくれたxaexに感謝)

v 10.1.8.18 =============================================================

- よりレジリエントで最適化されたSites.domainImplies()

- トップレベルドキュメントの自動一時TRUSTが有効な場合に、ChildPoliciesを更新します

- UIが開いているときに、コンテンツスクリプトからのメッセージが間違ったディスパッチャーに「読み取られる」問題を修正しました(skriptimaahinen氏に感謝します)

- ページがまだロードされている間にのみ、偶発的な権限/ステータスの不一致を引き起こす誤字を修正しました(skriptimaahinen氏に感謝します)

- XSS名サニタイズスクリプト注入の誤字を修正しました(skriptimaahinen氏に感謝します)

v 10.1.8.17 =============================================================

- 修正:Sites.domainImplies()はサブドメインを一致させる必要があります

- webexメッセージングAPI周囲のより首尾一貫したラッパー

- ChildPoliciesコンテンツスクリプト自動生成マッチングルールに影響する不一致を修正しました。

- クロスプロセスメッセージにある潜在的な問題を修正しました

- CSPヘッダーがWebExtensionsの最後に注入されるようにする、よりシンプルで信頼性の高いセーフティネット

- type = 'object'リクエストを使用してイメージ、CSSおよびその他のタイプをロードするページで、リフレッシュループを引き起こす回帰を修正しました

- [L10n] ruおよびdeの変換

- [XSS] HTMLイベントを更新し、最新のMozillaソースコードとFirefox ESR 52以降アーカイブされたデータの両方を使用するように一致コードを生成します

- browser.contentScripts APIに基づいた新しい動的スクリプト管理戦略は、とらえどころのない、requestFilterに誘導された一部のバグを修正する必要があります

- 空のTLDとして脅威を受けるno-dotドメインを修正しました(パッチについてPeter Wu氏に感謝します)

- 動的スクリプト管理のためのrequestFilterハックを削除しました

- [L10n] brおよびtr変換(Transifex/OTFに感謝します、https://www.transifex.com/otf/noscript/)

- webRequest.onHeaderReceivedリスナーを最後に実行させるための最善の努力(問題 #6、kkapsnerに感謝の意を表します)

- [L10n]「NoScript Options」タイトルのローカライズ(Diklabyte氏に感謝します)

- UIに報告されないインラインスクリプトを修正しました(パッチについてskriptimaahinenに感謝します)

- 起動ページの読み込みを延期する際にコンテンツ以外のウィンドウをスキップします(報告してくれたRob Wu氏に感謝します)

- 応答でのUTF-8エンコーディングのより広範な検出(報告してくれたRob Wu氏に感謝の意を表します)

- リリースにおけるデバッグコード削除のサポートを改善しました

- 保留中のリクエスト追跡によるスタートアップの競合状態を修正しました

- 取り消された一時的な権限でのNoScriptリロードタブの更新を修正しました。

レガシーバージョン:===

v 5.1.8.7 =============================================================

- [セキュリティ]ゼロデイバイパスをブロックするスクリプトを修正しました(責任のない開示をしてくれたZerodiumに感謝します、 https://twitter.com/Zerodium/status/1039127214602641409)

- [サロゲート] 2mdn置換の誤字を修正しました(thansk barbaz)

- [XSS] POSTフォームデータとして送信される、一部の大きなJSONペイロードでのInjectionCheckerの固定を修正

- [XSS]ネイティブES6モジュール悪用に対する詳細な保護

- クラシックベータチャンネルのユーザーが誤って安定版(stable)に移行されるのを修正しました(barbaz氏に感謝します)

注意:Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるmozilla-noscriptパッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2018-e9821afbca

プラグインの詳細

深刻度: Critical

ID: 120875

ファイル名: fedora_2018-e9821afbca.nasl

バージョン: 1.7

タイプ: local

エージェント: unix

公開日: 2019/1/3

更新日: 2024/6/28

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2018-16983

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:fedoraproject:fedora:28, p-cpe:/a:fedoraproject:fedora:mozilla-noscript

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2018/9/27

脆弱性公開日: 2018/9/13

参照情報

CVE: CVE-2018-16983